Poste bitte zwei AVZ logs wie in der Anleitung beschrieben wird.

Zitat:

Zitat von undoreal

Poste bitte zwei AVZ logs wie in der Anleitung beschrieben wird.

Hier bin ich schon wieder mit den beiden AVZ logs :

Führe mit AVZ folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit (true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOKUME~1\admin\LOKALE~1\Temp\WinIo.sys');
 DeleteFileMask('C:\DOKUME~1\admin\LOKALE~1\Temp', '*.*', true);
 DeleteFileMask('%Temp%', '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1\Common',  '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1',  '*.*', true);
 DeleteDirectory('C:\DOKUME~1\admin\ANWEND~1\MACROM~1');
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
 SetServiceStart('RDSessMgr', 4);
 SetServiceStart('mnmsrvc', 4);
 SetServiceStart('Schedule', 4);
 SetServiceStart('SSDPSRV', 4);
 SetServiceStart('TermService', 4);
 SetServiceStart('RemoteRegistry', 4);
ExecuteWizard('TSW', 3, 3, true); 
RebootWindows(true);
end.
         

Der Rechner startet dabei neu.

Poste anschließend bitte zwei neue AVZ logs.

Hast du die Empfehlung von raman befolgt?

Alle Passwörter von einem sauberen PC aus ändern!!

Zitat:

Zitat von undoreal

Führe mit AVZ folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit (true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOKUME~1\admin\LOKALE~1\Temp\WinIo.sys');
 DeleteFileMask('C:\DOKUME~1\admin\LOKALE~1\Temp', '*.*', true);
 DeleteFileMask('%Temp%', '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1\Common',  '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1',  '*.*', true);
 DeleteDirectory('C:\DOKUME~1\admin\ANWEND~1\MACROM~1');
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
 SetServiceStart('RDSessMgr', 4);
 SetServiceStart('mnmsrvc', 4);
 SetServiceStart('Schedule', 4);
 SetServiceStart('SSDPSRV', 4);
 SetServiceStart('TermService', 4);
 SetServiceStart('RemoteRegistry', 4);
ExecuteWizard('TSW', 3, 3, true); 
RebootWindows(true);
end.
         

Der Rechner startet dabei neu.

Poste anschließend bitte zwei neue AVZ logs.

Hast du die Empfehlung von raman befolgt?

Alle Passwörter von einem sauberen PC aus ändern!!

Hallo und guten abend, Danke für deine neue Nachricht, ich werde allerdings erst vorraussichtlich Donnerstag abend wieder dazu kommen, an dem infizierten PC weiter zu arbeiten. Hab meinem Schwiegervater bis dato jeglichen Internet Gebrauch verboten ;-)

Danke nochmals und hoff. bis übermorgen Abend, Gruß Bap

Poste anschließend bitte zwei neue AVZ logs.

Hast du die Empfehlung von raman befolgt?

Alle Passwörter von einem sauberen PC aus ändern!![/QUOTE]



Hallo und guten Abend,

hier bin ich wieder, hab das Script "erfolgreich" ausgeführt, hier nun die beiden neuen AVZ Logs:




Denke der Trojaner iss noch nicht ganz beseitigt da ich während der Ausführung von AVZ noch 3 Warnmeldungen bekam.

Bin gespannt wie es weiter geht und sag schon mal wieder vielen Dank im Vorraus.

Gruß Bap

Was für Warnmeldungen waren das?

Zitat:

Zitat von undoreal

Was für Warnmeldungen waren das?

Hallo :-)

im Prinzip die gleichen wie vorher auch...Antivir meldet sich mit der Warnmeldung
TR/Crypt.FKM:GEN in Verzeichnissen gefunden, allerdings dieses mal andere Adressen wie noch letztens

Gruß Bap


hier die Meldungen :


Erste :
In der Datei 'C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\2b8c20141.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Zweite :

In der Datei 'C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\avz_1520_raw.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

und die dritte und letzte :

In der Datei 'C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\2b8c20141.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.FKM.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Gruß Bap

Führe bitte folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit (true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\DOKUME~1\admin\LOKALE~1\Temp\WinIo.sys');
 DeleteFileMask('C:\DOKUME~1\admin\LOKALE~1\Temp', '*.*', true);
 DeleteFileMask('%Temp%', '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1\Common',  '*.*', true);
 DeleteFileMask('C:\DOKUME~1\admin\ANWEND~1\MACROM~1',  '*.*', true);
 DeleteDirectory('C:\DOKUME~1\admin\ANWEND~1\MACROM~1');
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia');
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia\Common',  '*.*', true);
 DeleteFileMask('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia',  '*.*', true);
 DeleteDirectory('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia');
 DelCLSID('{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}');
 DeleteFile('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia\Common\2b8c20141.dll');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\2b8c20141.dll');
 DeleteFileMask('C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp',  '*.*', true);
 DeleteFileMask('C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common', '*.*', true);
 QuarantineFile('mvfs32.dll');
 DeleteFile('C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Macromedia\Common\2b8c20141.dll');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Control Panel\IOProcs','MVB');
 DeleteFile('mvfs32.dll');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Control Panel\IOProcs','MVB');
 RegKeyParamDel('HKEY_CURRENT_USER','Control Panel\IOProcs','MVB');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 2, 2, true); 
RebootWindows(true);
end.
         

In der Anleitung zu AVZ steht doch du sollst AntiVir deaktiveren während du mit AVZ arbeitest!!

AVZ teilt mir einen Fehler im Script mit :

Error: Not enough actual parameters at position 24:16

Gruß Bap