Hallo,

nachdem ich gehofft hatte meinen Wurm und anderes losgeworden zu sein, geht es leider schon wieder los.

Angefangen hat es vor ein paar Tage als die Meldung kam:

NT-Autorität/System fährt den PC runter Sie habe 60 Sekunden zeit und noch was mit DCOM Server.

Habe dann mich ein bisschen eingelesen und was von den Würmern Blaster und Sasser und so gefunden. Also mit "shutdown -a" stope ich das runterfahren.

Virescanner habe ich von der Ct den ESEZ NOD 32 Antivirus. Der findet nix mehr, Malewar Bytes findet auch nix mehr. Es fällt aber auf das meist Ruhe ist, auch jetzt schon wieder, aber sobald ich Malewarebytes starte kommt die Meldung?

Hab mir dann den stinger exe besorgt und laufen lassen und von Windows kb890830. Dachte erst das ist ein Patch für XP aber das scheint auch ne Art Virenscanner zu sein. Hab das alles jetzte ein paar mal schon gemacht, und gestern Abend hatte ich gedacht jetzt ist Ruhe weil die Meldung nicht mehr kam und die Virenscanner auch nix mehr finden. Aber dann ruft mich heute meine Frau an...: " Der PC fährt dauernd runter"

Außerdem werden die links aus Yahoo,wenn ich die anklicken will geändert und ich komme auf komische Seiten...

Hab mir jetzt combofix besorgt und wolle mal fragen ob das das richtige ist?
oder soll ich besser ein log von HijackThis reinstellen?

Vielen Dank troja11

Hallo und

Poste bitte die Logfiles, v.a. das von Malwarebytes wo es noch was gefunden hat.

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! Denk auch daran, Malwarebytes zu aktualisieren!)

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

ok, mache ich heute Abend. Vielen Dank.

jetzt hab ich fast alles gemacht, aber leider läuft das RSIT nicht??? Mache bestimmt eine blöden Fehler, sry dafür. bekomme aber beim starten die Fehlermeldung

"Autold Error Line -1 Variable used without beeing declared"

Was ist der Fehler?

Dann poste bitte zuerst das Log von malwarebytes

Das ist das letzte malewarebytes von gestern , sauber und das mit dem Fund:

http://www.file-upload.net/download-2202722/mbam-log-2010-01-20--21-54-11-.txt.html

http://www.file-upload.net/download-2202728/mbam-log-2010-01-26--22-01-50-.txt.html


Da sind die Funde von ESET Gui, heute nochmal alles laufen lassen ohne Fund.

26.01.2010 14:29:11 HTTP-Prüfung Variante von Win32/Kryptik.BYL Trojaner Verbindung getrennt - in Quarantäne kopiert PRIVAT-C5CCD2OH\Privat Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe.

26.01.2010 21:30:28 Echtzeit-Dateischutz Datei C:\System Volume Information\_restore{5EBCE534-91C9-4162-B228-8765FEEC0864}\RP113\A0054122.dll Win32/Spy.Delf.OCE Trojaner Gesäubert durch Löschen - in Quarantäne kopiert PRIVAT-C5CCD2OH\Privat Ereignis aufgetreten beim Versuch die Datei auszuführen durch die Anwendung: C:\Programme\Malwarebytes' Anti-Malware\mbam.exe.

26.01.2010 21:47:58 HTTP-Prüfung möglicherweise Variante von Java/TrojanDownloader.Agent.AB Trojaner Verbindung getrennt - in Quarantäne kopiert PRIVAT-C5CCD2OH\Privat Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: C:\Programme\Java\jre6\bin\java.exe.

Danke !

Zitat:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551

Malwarebytes ist völlig veraltet, Du musst es aktualisieren und den Vollscan wiederholen.
Aktuell jetzt wäre das hier:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3649

uups, das ist mir gestern durchgerutscht.. wollte ich eigentlich auch gleich mitmachen..

ich habe gesehen, ich habe auch nur den SP2 für xp drauf.. soll ich das auch gleich mal aktualisieren und den ganzen aneren Rest auch ?

Grüße troja11

Updates für Windows etc. bitte erst machen, wenn alles bereinigt ist.

http://www.file-upload.net/download-2205469/mbam-log-2010-01-28--21-36-57-.txt.html

ok, malewarbytes upgedatet und er findet auch was... allerdings ist der PC jetzt zweimal runtergefahren beim komplettscan. Hatte gehofft mit dem Befehl das runterfahren auch vorab zu verhindern, aber das hat nicht funktioniert. Leider kann ich heute nicht den ganzen Abend warten während der komplettscan läuft und dann das runterfahren zu verhindern.

Habe jetzt nen Quick Scan gemacht und den log oben reingestellt.
Der Komplettscan kommt später oder dann morgen Abend.
grüße troja11

http://www.file-upload.net/download-2208746/mbam-log-2010-01-29--21-39-56-.txt.html

das ist der full scan

danke!

Ok fertig.. RSIT ist auch einmal durchgelaufen allerdings kam bei highjackthis ne fehlermeldung, deshalb hab ich auch highjackthis durchlaufen lassen, da kam dann die gleiche Fehlermeldung.

http://www.file-upload.net/download-...kthis.log.html

http://www.file-upload.net/download-.../info.txt.html

http://www.file-upload.net/download-...3/log.txt.html

und in den posts davor die beiden malewarebites scans mit ohen ohne fund sowie die ESET Gui Scans mit und ohne fund.

Zusaätzlich habe ich spyware laufen lassen und noch 5 "Bedrohungen behoben" Die nennt sich DSO exploit und erscheint immer wieder. Keine Ahnung ob das was bedeutet.


Aber... das Schweinchen ist immer noch aktiv, d.h. ich bekomme immer wieder, wohl im Zusammenhang der Scans oder das ich online bin den pop up dass der PC in 60 Sekunden runterfährt. Wenn ich dann nicht am pc bin und die "Ausführen" Aktion mache fährt der PC runter. Auch geht manchmal ein Pop up über firefox auf, der einen link zu einem onlinecasino bringt...

merci für die Hilfe

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gStart
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched

folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WSWKDAD_APDM

files to delete:
C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\Adobe\Update\dlgcom.dat
C:\WINDOWS\system32\xa.tmp
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

hatte beim hochfahren ne Fehlermeldung: "RunDLL Fehler beim Laden C...Adobe... Update... Modul nicht gefunden" . Weiss nicht ob es mit dem Script zu tun hatte. Nochmal vielen Dank für die Hilfe !

Hier der Script:



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WSWKDAD_APDM" deleted successfully.
File "C:\Dokumente und Einstellungen\Privat\Anwendungsdaten\Adobe\Update\dlgcom.dat" deleted successfully.
File "C:\WINDOWS\system32\xa.tmp" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gStart" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched" deleted successfully.

Completed script processing.

hab eben nochmal nen quickscan von malewarebytes laufen lasssen... leider kam wieder "shutwown in 60 sec"...