Hallo jungs,
ich hab das Problem dass mich irgend ein Virus wenn ich einen link anklicke auf komische Seiten wie z.b. http://thefeedyard.com/?do=search&q=DownloadLatest%20Version weiterleitet.

als ich das bemerkt habe, hab ich erst einaml den Virenscanner laufen lassen mit dem Ergebnis dass der Pc neustartet gleich nach dem Beginn des scans.

dann habe ich mich hier ein bisschen schlau gemacht und wollte einige programme runterladen doch dies funktionierte nicht da ich immer wieder auf unsinnige seiten weitergeleitet wurde.

systemwiederherstellung geht auch nicht mehr dass einzigste was ich geschafft habe war ein logfile von dem programm Hopsassa dieses heist

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "nhkfox" found!
DisplayName: nhkfox
ImagePath: \??\C:\WINDOWS\system32\drivers\shejqacl.sys
Start Type: 2 (Automatic)

Rootkit scan completed.


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\podmenadrv" not found!
Deletion of driver "podmenadrv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\podmena" not found!
Deletion of driver "podmena" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

ich hoffe ihr könnt mir helfen danke

Hallo und

Bitte niemals irgendein Skript benutzen, dass für genau einen User in einer bestimmten Situation geschrieben wurde. Versuche es mit diesem hier:

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
nhkfox

Files to delete:
C:\WINDOWS\system32\drivers\shejqacl.sys
         

Poste das Log von Avenger (aka Hopsassa) und versuche anschliessend die Programme nochmal zu laden. Sollte das nicht funktionieren, dann melde dich.

ciao, andreas

so hab jetzt das logfile von anti malware
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2790
Windows 5.1.2600 Service Pack 2

13.09.2009 17:11:11
mbam-log-2009-09-13 (17-10-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 167755
Laufzeit: 1 hour(s), 48 minute(s), 55 second(s)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 22

Infizierte Speicherprozesse:
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Worm.Allaple) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\poprock (Trojan.Downloader) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nordbull (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\poprock (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\msa.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\b.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\msxml71.dll (Worm.Allaple) -> No action taken.
C:\Dokumente und Einstellungen\X\Eigene Dateien\Eigene Musik\Verschieden\Web-MediaPlayer_setup.exe (Adware.NaviPromo) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\a.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\h.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\i.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\update.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YBO978UC\load[2].exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Dokumente und Einstellungen\X\Startmenü\Programme\Autostart\ChkDisk.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\Startmenü\Programme\Autostart\ChkDisk.lnk (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\iexplore.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\X\protect.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\protect.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.

logfile von hopsassa kommt gleich
danke für die schnelle antwort

Hast du bei Malwarebytes auch Löschen lassen? Dort steht No action taken. Bei den Funden solltest du ernsthaft das in Betracht ziehen => http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

nein ich konnte nichts löschen ist glaube ich nur eine demo
also bei hopsassa habe ich deinen rat befolgt dann wollte der pc neustarten dann kam no operating system found dann musste ich abschalten und neustarten dann kamm dieses logfile

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "nhkfox" found!
DisplayName: nhkfox
ImagePath: \??\C:\WINDOWS\system32\drivers\shejqacl.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "nhkfox" deleted successfully.
File "C:\WINDOWS\system32\drivers\shejqacl.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

denkst du ich habe keine andere chace wie formatieren?

Zitat:

nein ich konnte nichts löschen ist glaube ich nur eine demo

Dann hast du dir die falsche Version geladen. Halte dich genau an unsere Anleitung.

Man kann (fast) alles bereinigen, nur wenn die Zeit zum Bereinigen ein Mehrfaches dessen überschreitet, die eine Neuinstallation erfordert, dann fragt man sich schon, ob das überhaupt sinnvoll ist.

Bei dem, das du auf dem Rechner hattest und vermutlich noch hast, halte ich das nicht für sinnvoll. Falls du dennoch Bereinigen möchtest, dann werden weitere ca. 10 Programme auf dich zukommen.

Siehst du das Stolen.Data im Log von Malwarebytes? Du kannst davon ausgehen, dass alle deine Kennwörter schon verschickt wurden. Deshalb ändere alle deine Kennwörter von einem sauberen Rechner.

ciao, andreas

ok dankeschön dann muss ich dass wohl oder übel machen aber woher weis ich dass meine datensicherug die ich mache nicht verseucht ist und dann meinen neuinstalierten rechner wieder infiziert wenn ich die daten rüberzihe?

danke für deine schnelle hilfe

edit:

ich hab antimalware nochmal im schnelldurchlauf scannen lassen also da steht dann entfernen aber wenn ich dass drücke kommt eine fehlermeldung und das programm wird geschlossen
"Malwarebytes' Anti-Malware hat ein Problem festgestellt und muss beendet werden."

Klar. Das du deine Daten verlierst, möchte ich natürlich nicht. Es gibt mehrere Möglichkeiten.

1.) Du benutzt eine Live-CD zum Daten sichern => http://www.trojaner-board.de/75619-a...x-live-cd.html

2.) Wir bereinigen zumindest soweit, dass du die Daten gefahrlos sichern kannst. Vorher deinen Anmeldenamen ersetzen! Neues Skript für den Avenger:

Code: Alles auswählenAufklappen

ATTFilter

Folders to delete:
C:\WINDOWS\system32\lowsec
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Files to delete:
C:\WINDOWS\msa.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\b.exe
C:\WINDOWS\system32\msxml71.dll
C:\Dokumente und Einstellungen\X\Eigene Dateien\Eigene Musik\Verschieden\Web-MediaPlayer_setup.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\a.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\h.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\i.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\update.exe
C:\Dokumente und Einstellungen\X\Startmenü\Programme\Autostart\ChkDisk.dll
C:\Dokumente und Einstellungen\X\Startmenü\Programme\Autostart\ChkDisk.lnk
C:\WINDOWS\system32\autochk.dll
C:\WINDOWS\system32\drivers\str.sys
C:\WINDOWS\system32\sdra64.exe
C:\Dokumente und Einstellungen\X\Lokale Einstellungen\Temp\nsrbgxod.bak
C:\Dokumente und Einstellungen\X\iexplore.exe
C:\Dokumente und Einstellungen\X\protect.dll
C:\Dokumente und Einstellungen\NetworkService\protect.dll
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job
         

ciao, andreas

danke schön hier das logfile:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\WINDOWS\system32\lowsec" deleted successfully.
Folder "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temporary Internet Files\Content.IE5" deleted successfully.
File "C:\WINDOWS\msa.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\b.exe" deleted successfully.
File "C:\WINDOWS\system32\msxml71.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Eigene Dateien\Eigene Musik\Verschieden\Web-MediaPlayer_setup.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\a.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\h.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\i.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\update.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Startmenü\Programme\Autostart\ChkDisk.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Startmenü\Programme\Autostart\ChkDisk.lnk" deleted successfully.
File "C:\WINDOWS\system32\autochk.dll" deleted successfully.
File "C:\WINDOWS\system32\drivers\str.sys" deleted successfully.
File "C:\WINDOWS\system32\sdra64.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Temp\nsrbgxod.bak" deleted successfully.

Error: file "C:\Dokumente und Einstellungen\x\iexplore.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\x\iexplore.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Dokumente und Einstellungen\x\protect.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\NetworkService\protect.dll" deleted successfully.
File "C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job" deleted successfully.
File "C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

danke für schnelle hilfe

kann ich jetzt datensicherung machen ohne probleme ?

Jetzt bitte ich dich um einen Gefallen.

Packe den Ordner c:\avenger mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als Private Nachricht.

Zitat:

kann ich jetzt datensicherung machen ohne probleme ?

Das weiß ich noch nicht. Du hattest zumindest ein Rootkit, dass mittlerweile beseitigt ist, aber da können noch mehr sein. Wie geht es denn dem Rechner? Gibt es eine Besserung? Gibt es noch Umleitungen im Browser? Da du die gesicherten Daten sowieso scannen musst, können wir das auch gleich machen.

1.) http://www.trojaner-board.de/51871-a...tispyware.html

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

3.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

ciao, andreas

ordner wird gezipped und pc wird gescannt melde mich wenn alles abgeschlossen ist
noch einmal vielen dank für deine behühungen

rechner geht es besser wurde bis jetzt nichtmehr weitergeleitet aber ich glaube bei antivir wird der pc immernoch neugestartet muss ich aber nochmal schauen bis gleich

ok link an dich verschickt und logfile von atispyware erstellt:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/13/2009 at 08:02 PM

Application Version : 4.28.1010

Core Rules Database Version : 4097
Trace Rules Database Version: 2037

Scan type : Complete Scan
Total Scan Time : 01:31:30

Memory items scanned : 807
Memory threats detected : 1
Registry items scanned : 5413
Registry threats detected : 2
File items scanned : 67377
File threats detected : 66

Trojan.Agent/Gen-FakeAlert
C:\DOKUMENTE UND EINSTELLUNGEN\x\XOUUZ.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\x\XOUUZ.EXE
[xouuz] C:\DOKUMENTE UND EINSTELLUNGEN\x\XOUUZ.EXE
C:\WINDOWS\Prefetch\XOUUZ.EXE-13703722.pf

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\x\Cookies\fege@bluestreak[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tto2.traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@zanox[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@fastclick[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@clicks.pangora[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@mediaplex[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adbrite[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@casalemedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@www.etracker[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adrevolver[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@advertising[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@zedo[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@invitemedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@a2.adserver01[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@www.traffictrack[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ak[1].txt
C:\Dokumente und Einstellungen\xCookies\fege@burstnet[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tradedoubler[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@cdn.at.atwola[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@beepbanner[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@revsci[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@apmebf[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tacoda[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.adnet[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.adition[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ads.lucidmedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ads.heias[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@realmedia[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking.3gnet[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@specificclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@beacons.hottraffic[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.trackbar[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@a3.adserver01[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adtech[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@interclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@247realmedia[1].txteGe\Cookies\fege@at.atwola[2].txt
C:\Dokumente und Einstellungen\
C:\Dokumente und Einstellungen\x\Cookies\fege@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@wendybanner888[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@doubleclick[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@atdmt[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@paperbanner[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@go.dynamic-tracking[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@12finder[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@ad.zanox[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking.mindshare[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tribalfusion[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@atwola[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@trafficmp[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@adserver.adtechus[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@webmasterplan[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@overture[1].txt
C:\Dokumente und Einstellungen\x\Cookies\fege@tracking[2].txt

Trojan.Agent/Gen
HKU\S-1-5-21-2738817857-1055559545-666353811-1006\SOFTWARE\XML

Trojan.Unclassified/MSXML71
C:\DOKUMENTE UND EINSTELLUNGEN\FEGE\LOKALE EINSTELLUNGEN\TEMP\MSXML71.DLL

Trojan.Dropper/Win-NV
C:\WINDOWS\MSB.EXE


dankeschön noch weitere arbeiten vornehmen?

Ich bin gerade am Grübeln, ob wir nicht doch lieber bereinigen. Denn das Zeitraubende, sprich das Scannen kommt ja sowieso auf dich zu, für den Fall, dass du sicherst. Das ist jetzt deine Entscheidung. Sichern kannst du jetzt erstmal. Denn als nächstes kommt ComboFix und da besteht immer die Möglichkeit, dass etwas schiefgeht.

Hier schonmal die Ergebnisse von Virustotal: Rustock, Renos, Bredolab, NaviPromo. Du hast so gut wie nichts ausgelassen.

Virustotal. MD5: 752bf69409f14231c3beb877bddc2094 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.GW SHeur2.BDDI
Virustotal. MD5: 01bf8c558d0bbd08604e2db5b7356ebe Heuristic.Crypted Trojan.Win32.Scar.ef Win32/Rootkit.Agent.NPB
Virustotal. MD5: 33eb325dcf2d41bedaf11be5d48d7ce7 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JI Trojan.Click.27629
Virustotal. MD5: 01bf8c558d0bbd08604e2db5b7356ebe Heuristic.Crypted Trojan.Win32.Scar.ef Win32/Rootkit.Agent.NPB
Virustotal. MD5: 25c2c8ebb30b6545f47be8732b77ce69 Suspect-29!25C2C8EBB30B a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JI
Virustotal. MD5: 020c2205f4cfc85ebb914305983c1127 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JM Suspicious File
Virustotal. MD5: 732634672572b3cf9b2982c5b51dd934 a variant of Win32/Kryptik.ADD TrojanDownloader:Win32/Renos.JM Suspicious File
Virustotal. MD5: 5cf522c2ff58ec5286149fcd9ffee3a1 Win32/TrojanDownloader.FakeAlert.AIX TrojanDownloader:Win32/Renos.JM Trojan.Packed.458
Virustotal. MD5: 01bf8c558d0bbd08604e2db5b7356ebe Heuristic.Crypted Trojan.Win32.Scar.ef Win32/Rootkit.Agent.NPB
Virustotal. MD5: 1bddf3e39368961719814f251a426a3f Trojan.Dropper.Gen Trojan-Downloader:W32/Bredolab.gen!C a variant of Win32/Kryptik.ALK
Virustotal. MD5: 2a3602131840edd6147af42fe68bb36b Heuristic.BehavesLike.Win32.Rootkit.B Backdoor:WinNT/Rustock.gen!B TR/Crypt.ZPACK.Gen
Virustotal. MD5: 7a3c560b6a15d4ca0889a58d05fe1ca1 SHeur2.BDEI (Suspicious) - DNAScan Trojan.Botnetlog.11
Virustotal. MD5: 2424168a2a62d8a9f72ef97bd77f9224 WebMediaPlayer Heuristic.LooksLike.Win32.NaviPromo.H a variant of Win32/Adware.Agent.NMZ

ciao, andreas

wie verstehe ich ich habe nichts ausgelassen soll ich da die ironie raushören dass ich mir einfach so gut wie alles eingefangen habe oder habe ich schon einiges bereinigt... hoffe das zweite glaube aber das erste
naja also wenn es dir nichts ausmacht würde ich gerne bereinigen dann bin ich mir sicher dass erst mal alles weg ist habe bis jetzt noch nie so genau gearbeitet sonst immer virenscan durchlaufen lassen und dachte alles wäre i.o. scheint wohl nicht so...

ich frage mich gerade nur wo ich mir die ganzen pferde eingefangen habe? kann soetwas auch bei legalen downloads passieren?

Zitat:

soll ich da die ironie raushören dass ich mir einfach so gut wie alles eingefangen habe

Zitat:

sonst immer virenscan durchlaufen lassen

Ja, das denken viele, ich habe eine Antivirenprogramm, ich bin doch sicher. Völlig falsch.

Schau doch nur, wie wenig von den Antivirenprogrammen die neuen Schädlinge überhaupt erkennen. 3 von 41, 6 von 41. Ein Antivirenprogramm ist kein Schutz. Klicke auf den dritten Link in meiner Signatur, lies alles und lerne es auswendig.

Zitat:

kann soetwas auch bei legalen downloads passieren?

Grundsätzlich schon, aber recht unwahrscheinlich. Die meisten infizieren sich, weil sie sich Keygens, Cracks und Patches laden oder Software mit P2P-Programmen laden.

Wenn du deine Daten gesichert hast, dann weiter mit ComboFix.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas