Vorher die *** durch deinen Anmeldenamen ersetzen. Vor dem Ausführen des Scriptes die Internetverbindung kappen (Stecker ziehen/WLAN deaktivieren), sonst bekommt jemand den ganzen Müll, den ich lösche, zugeschickt.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

File::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewewyvyta.db
c:\dokumente und einstellungen\All Users\Anwendungsdaten\exuzany.dat
c:\dokumente und einstellungen\*********\Anwendungsdaten\aqaxot.dat
c:\windows\byqux._sy
c:\windows\anujaku._sy
c:\windows\oqavavycag._sy
c:\windows\ywuxeh.lib
c:\windows\system32\qijoxyb.db
c:\windows\system32\zamovivol._sy
c:\windows\system32\jamahok.db
c:\programme\Gemeinsame Dateien\luhel.db
c:\programme\Gemeinsame Dateien\odijufajix.dat
c:\programme\Gemeinsame Dateien\imokybyny.db
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\papy.lib
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\adyqalyq.db
c:\VO.log
c:\dxva.log
c:\install.log
c:\SVKSettings.txt
c:\drivez.log
c:\windows\system32\perfh009.dat
c:\windows\system32\perfc009.dat
C:\WINDOWS\system32\CONFIG.TMP
C:\WINDOWS\system32\SETD3.tmp
C:\WINDOWS\system32\SETD6.tmp
C:\WINDOWS\system32\SETE2.tmp
C:\WINDOWS\system32\SETE4.tmp
C:\WINDOWS\system32\AccConnBasic.Log
C:\WINDOWS\system32\spupdwxp.log
C:\WINDOWS\system32\TZLog.log
C:\WINDOWS\002851_.tmp
C:\WINDOWS\clock.avi

Folder::
c:\2aeb7ad095a678d53d55a9
c:\48de36c8a253698daa
c:\b30a5476b8f3e0a39e9b68bf
c:\ec6a754e432cb7c3e732c20764
c:\Config.Msi
c:\rsit
C:\WINDOWS\Temp
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
C:\Programme\Zone Labs
C:\Programme\Online-Dienste
C:\Programme\Online Services

DirLook::
c:\Recycled
c:\Recycler
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix posten.

Das Log wird sehr groß werden. Lade es bei einem Filehoster hoch (z.B. www.file-upload.net) und poste hier den Link.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Hallo Andreas,

da bin ich wieder mit Verspätung:
PrevXCI hat nichts gefunden und Pandafix muss ich noch mal machen, weil ich das mit der Logdatei nicht hinbekommen hab.

Und hier ist dein Combofixlog:

http://www.materialordner.de/xHp6pTIZccvaOGe4fGTKt5KmJaga1D.html

wieder einmal Danke für Geduld und Hilfe

Gute Nacht
Christina

Das sieht schon viel freundlicher aus.

Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten?

Gute Nacht, Andreas

Meine auch, dass das ganz ok aussieht.

hier mein log aus Panda, dass ich grad wiedergefunden hab:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-09-30 22:55:02
PROTECTIONS: 1
MALWARE: 19
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@casalemedia[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@doubleclick[3].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tradedoubler[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tradedoubler[2].txt
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tribalfusion[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@mediaplex[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@ad.yieldmanager[3].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@ad.yieldmanager[2].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@apmebf[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@serving-sys[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@serving-sys[3].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@bs.serving-sys[3].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@bs.serving-sys[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@weborama[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@weborama[3].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@adtech[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@advertising[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@advertising[3].txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@statse.webtrendslive[2].txt
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@questionmarket[1].txt
00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@zedo[2].txt
00198795 Bck/Dumador.CU Virus/Trojan No 0 Yes No C:\WINDOWS\system32\drivers\etc\HOSTS.bak
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@smartadserver[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@smartadserver[2].txt
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP314\A0133887.sys
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No C:\Dokumente und Einstellungen\******\Desktop\Christina\downloads\RealPlayer11GOLD_de.exe
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

endgültig gute Nacht

1.) Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten?

2.) Start => Ausführen => combofix /u => OK

3.) Deinstalliere:

• Panda Active Scan
• PrevxCSI

4.) Poste ein neues HJT-Log.

ciao, andreas

Hallo Andreas,

na, was meinst denn du, wie es aussieht? Ich selbst merke keine Veränderung am Rechner. Er lief die ganze Zeit gut. Daher können wir nur auf die logs vertrauen.
Start => Ausführen => combofix /u => OK
hat bei mir nicht geklappt, da kam immer ne Fehlermeldung.

meine letztes log liegt hier: kannst du darin noch Schädliches entdecken?

http://www.materialordner.de/EjQigJl...iMJhOiJpO.html

Zitat:

da kam immer ne Fehlermeldung.

Dann eben von Hand. Lösche die Ordner (falls vorhanden):

Zitat:

C:\Cofi
C:\ComboFix
C:\Qoobox
C:\windows\erdnt

und die Datei

Zitat:

C:\combofix.txt

Zitat:

kannst du darin noch Schädliches entdecken?

Die Schädlinge sind schon weg, jetzt geht es nur noch darum, den Rechner etwas schneller zu machen.

Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

Alle R0, R1, O2, O3, O8, O9, O11, O14, O16 und O20-Einträge
         

=> Fix checked

Du bist entlassen oder gehet hin im Frieden des Herrn.

ciao, andreas