Hallo!
Ich hoffe hier kann mir jemand helfen
Seit einigen Tagen öffnet Firefox ständig neue Fenster.
Ein Scan mit Avast ergab keine Funde
Ein Scan mit Spybot search & destroy ergab: Win32.autoRun.tmp
Wenn ich auf "Beheben" klicke zeigt mir spybot auch an, dass alles behoben wurde, lasse ich Spybot dann nochmal laufen findet er wieder diese Datei

Ich habe schon hier im Forum gesucht und mit OTL heruntergeladen und einen Scan (!?) mit folgenden Angaben durchgeführt (Wurde einem User mit dem gleichen Problem empfohlen) http://www.trojaner-board.de/86870-w...n-tmp-tun.html
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles

Daraufhin habe ich zwei txt-dateien bekommen, die ich versuche anzuhängen.

Ich bin mir nicht sicher, ob ich weiter nach dem anderen Thread vorgehen kann, oder ob die Ausgabe so individuell ist, dass ich mir mit den "reperaturangaben" aus dem anderen Beitrag etwas kaputt machen würde. Deshalb poste ich quasi das gleiche Thema nochmal, sorry!

Ich würde mich sehr freuen, wenn mir hier jemand helfen könnte!
danke

Hallo Kathrin und

Zitat:

lasse ich Spybot dann nochmal laufen findet er wieder diese Datei

Deinstalliere Spybot und wenn du schon dabei bist, Zonealarm gleich mit.

Zitat:

Ich bin mir nicht sicher, ob ich weiter nach dem anderen Thread vorgehen kann

Nein, es sei denn, du kannst die Skripte selbst erstellen.

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lies die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Vorsichtig geschätzt wird in deinem Fall die Reinigung die dreifache Zeit einer Neuinstallation benötigen.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - (CiscoVpnInstallService) -- C:\Dokumente und Einstellungen\kathi\Lokale Einstellungen\Temp\WZS92.tmp\installservice.exe File not found
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZon1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZon1.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1642414677-707387940-3519431362-1006\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKU\S-1-5-21-1642414677-707387940-3519431362-1006\..\Toolbar\WebBrowser: (ZoneAlarm-Sicherheit Toolbar) - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - C:\Programme\ZoneAlarm-Sicherheit\tbZon1.dll (Conduit Ltd.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ6.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} http://office.microsoft.com/officeupdate/content/opuc3.cab (Office Update Installation Engine)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159706847550 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab (Java Plug-in 1.5.0_08)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Reg Error: Key error.)
O20 - HKLM Winlogon: TaskMan - (C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe) - C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe (Pnecfu. Sca)
O20 - HKU\S-1-5-21-1642414677-707387940-3519431362-1006 Winlogon: Shell - (C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe) - C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe (Pnecfu. Sca)
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\AutoRun\command - "" = F:\RAPO\drogeras.exe -- File not found
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\explore\command - "" = F:\RAPO\\drogeras.exe -- File not found
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\open\command - "" = F:\RAPO\\drogeras.exe -- File not found
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\AutoRun\command - "" = nestala\\emilia.exe
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\explore\command - "" = nestala\\\emilia.exe
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\open\command - "" = nestala\\\emilia.exe
O33 - MountPoints2\{5060238c-a19d-11dc-8e9c-0060b361c63f}\Shell - "" = AutoRun
O33 - MountPoints2\{5060238c-a19d-11dc-8e9c-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5060238c-a19d-11dc-8e9c-0060b361c63f}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
O33 - MountPoints2\{8047750c-0840-11df-88d4-0060b361c63f}\Shell - "" = AutoRun
O33 - MountPoints2\{8047750c-0840-11df-88d4-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8047750c-0840-11df-88d4-0060b361c63f}\Shell\AutoRun\command - "" = F:\DPFMate.exe -- File not found
O33 - MountPoints2\{db8f2a1a-74fc-11dd-913b-0060b361c63f}\Shell\AutoRun\command - "" = nymdik.exe
O33 - MountPoints2\{db8f2a1a-74fc-11dd-913b-0060b361c63f}\Shell\open\Command - "" = nymdik.exe
O33 - MountPoints2\{f1ea480f-dfdb-11de-b385-0060b361c63f}\Shell - "" = AutoRun
O33 - MountPoints2\{f1ea480f-dfdb-11de-b385-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f1ea480f-dfdb-11de-b385-0060b361c63f}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
O33 - MountPoints2\{f1ea4810-dfdb-11de-b385-0060b361c63f}\Shell\AutoRun\command - "" = G:\ysyjq1bs.exe -- File not found
O33 - MountPoints2\{f1ea4810-dfdb-11de-b385-0060b361c63f}\Shell\open\Command - "" = G:\ysyjq1bs.exe -- File not found
Files:
C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ciao, andreas

Hallo Andreas, vielen Dank für deine Antwort!

Bevor ich mich für einen Weg entscheide habe ich noch ein paar Fragen

1. Kann meinen (Office- /Open Office- /Foto- /Musik-)Dateien etwas passieren, wenn ich die Bereinigung durchführe? oder sind die von sowas gar nicht betroffen?
Sollte ich sie zur Sicherheit auf eine externe Festplatte kopieren?

2. Wenn ich mir überhaupt zur Sicherheit (ob jetzt Bereinigung oder Formatierung) einige Dateien auf eine externe Festplatte kopiere, kann es dann sein, dass ich den Wurm mit kopiere und ihn womöglich am ende sogar schon wieder draufziehe?

3. Können Programme von der Bereinigung "unbrauchbar" werden?

4. Programme werden bei einer Formatierung auf jeden Fall gelöscht, oder?

5. kannst du herausfinden woher man / ich den Wurm bekommen habe?

6. kannst du mir sagen, was genau der Wurm überhaupt macht? ... also, außer Werbefenster bei Firefox zu öffnen...

7. Besteht die Gefahr, dass ich andere "anstecke", wenn ich mit ihnen Dateien über USB-Sticks austausche?

Grüße, und nochmal Danke für die Antwort

Zitat:

1. Kann meinen (Office- /Open Office- /Foto- /Musik-)Dateien etwas passieren, wenn ich die Bereinigung durchführe?

Nein.

Zitat:

Sollte ich sie zur Sicherheit auf eine externe Festplatte kopieren?

Das solltest du grundsätzlich immer und auch regelmäßig durchführen. Festplatten gehen irgendwann kaputt und dann ist guter Rat mehr als teuer.

Zitat:

Wenn ich mir überhaupt zur Sicherheit (ob jetzt Bereinigung oder Formatierung) einige Dateien auf eine externe Festplatte kopiere, kann es dann sein, dass ich den Wurm mit kopiere und ihn womöglich am ende sogar schon wieder draufziehe?

Grundsätzlich möglich, bei dem gehe ich allerdings nicht davon aus.

Zitat:

3. Können Programme von der Bereinigung "unbrauchbar" werden?

Ja, kann passieren. ComboFix zerschiesst gerne Netzwerktreiber. Selbst Malwarebytes hat schon einmal ein Rechner geschrotet, ist aber eher die Ausnahme.

Zitat:

4. Programme werden bei einer Formatierung auf jeden Fall gelöscht, oder?

Jein. Bei einer Formatierung wird alles gelöscht, allerdings werden die Daten nicht wirklich überschrieben und lassen sich mit speziellen Programmen z.T. wiederherstellen. Wenn du sicher löschen möchtest, bietet sich z.B. Darik's Boot And Nuke | Hard Drive Disk Wipe and Data Clearing an.

Zitat:

5. kannst du herausfinden woher man / ich den Wurm bekommen habe?

Manchmal gelingt es, manchmal nicht. Das hängt davon ab, ob er Spuren hinterlassen hat.

Zitat:

kannst du mir sagen, was genau der Wurm überhaupt macht?

Dazu müsste ich erstmal wissen, um wen es sich eigentlich handelt und was er genau macht. Deshalb lade bitte die Datei

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe
         

bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Zitat:

Besteht die Gefahr, dass ich andere "anstecke", wenn ich mit ihnen Dateien über USB-Sticks austausche?

Bei einigen schon, bei dem vermutlich nicht. Siehe voriger Absatz.

ciao, andreas

Edit: Angekommen.

Code: Alles auswählenAufklappen

ATTFilter

File name: 
gnja.exe
Submission date: 
2010-08-24 19:19:12 (UTC)
Current status: 
finished
Result: 
17/ 41 (41.5%)	VT Community

not reviewed
 Safety score: - 

Compact 
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2010.08.24.00	2010.08.23	-
AntiVir	8.2.4.38	2010.08.24	-
Antiy-AVL	2.0.3.7	2010.08.23	-
Authentium	5.2.0.5	2010.08.24	W32/Rimecud.J.gen!Eldorado
Avast	4.8.1351.0	2010.08.24	Win32:MalOb-BZ
Avast5	5.0.594.0	2010.08.24	Win32:MalOb-BZ
AVG	9.0.0.851	2010.08.24	Cryptic.AUG
BitDefender	7.2	2010.08.24	Gen:Variant.Bredo.15
CAT-QuickHeal	11.00	2010.08.24	Win32.Packed.Katusha.o.3.Pack
ClamAV	0.96.2.0-git	2010.08.24	-
Comodo	5845	2010.08.24	Heur.Suspicious
DrWeb	5.0.2.03300	2010.08.24	-
eSafe	7.0.17.0	2010.08.24	-
eTrust-Vet	36.1.7810	2010.08.23	-
F-Prot	4.6.1.107	2010.08.24	W32/Rimecud.J.gen!Eldorado
F-Secure	9.0.15370.0	2010.08.24	Gen:Variant.Bredo.15
Fortinet	4.1.143.0	2010.08.24	-
GData	21	2010.08.24	Gen:Variant.Bredo.15
Ikarus	T3.1.1.88.0	2010.08.24	Trojan.Win32.Rimecud
Jiangmin	13.0.900	2010.08.23	-
Kaspersky	7.0.0.125	2010.08.24	P2P-Worm.Win32.Palevo.jub
McAfee	5.400.0.1158	2010.08.24	-
McAfee-GW-Edition	2010.1B	2010.08.24	-
Microsoft	1.6103	2010.08.24	Trojan:Win32/Rimecud.A
NOD32	5394	2010.08.24	a variant of Win32/Kryptik.FZG
Norman	6.05.11	2010.08.24	-
nProtect	2010-08-24.01	2010.08.24	-
Panda	10.0.2.7	2010.08.24	-
PCTools	7.0.3.5	2010.08.24	-
Prevx	3.0	2010.08.24	High Risk Cloaked Malware
Rising	22.62.01.04	2010.08.24	-
Sophos	4.56.0	2010.08.24	Mal/FakeAV-EW
Sunbelt	6785	2010.08.24	-
SUPERAntiSpyware	4.40.0.1006	2010.08.24	-
Symantec	20101.1.1.7	2010.08.24	-
TheHacker	6.5.2.1.355	2010.08.24	-
TrendMicro	9.120.0.1004	2010.08.24	-
TrendMicro-HouseCall	9.120.0.1004	2010.08.24	-
VBA32	3.12.14.0	2010.08.24	Malware-Cryptor.Grygoryi.3
ViRobot	2010.8.24.4005	2010.08.24	-
VirusBuster	5.0.27.0	2010.08.24	-
Additional information
Show all 
MD5   : d526417f55df8e86b7be2cb8fe68ec2a
SHA1  : 8b1e76d32b6b7f126678fe5bdb57f5dae084a6d7
SHA256: eb900216bc2f9e0fd8104d137e8d5f8e5dc8cdbff6598976e48b858bb970b595
ssdeep: 1536:wsG8H3RZKpcu1uBHRqpWlpOYsZeQo36PWbUKhFp80ZvQpctbuUi+3YyM71iPm8i:DxRgWu
kBI8vOY5Q9EpdtQEbubku1iPm
File size : 108544 bytes
First seen: 2010-08-24 19:19:12
Last seen : 2010-08-24 19:19:12
TrID: 
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck: 
publisher....: Pnecfu. Sca
copyright....: Gyqsqe, Cpfjamk. Drmnta
product......: Aekahowwyo Iqf Fnh Pi
description..: Orvtpq Cdwep, Wleke
original name: Ugsil, Hy
internal name: Bytlwbj Lp
file version.: 9.5.2500.5700
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Authentium): UPX
packers (F-Prot): UPX
packers (Kaspersky): UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2A650
timedatestamp....: 0x483C0633 (Tue May 27 13:01:39 2008)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x16000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x17000, 0x14000, 0x13800, 7.96, dd3a7f2e1f893269641738b343dcaa93
.rsrc, 0x2B000, 0x7000, 0x6C00, 5.73, 127dbeb9191493ddd7ce66189e9b69c8

[[ 1 import(s) ]]
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
Prevx Info: 
http://info.prevx.com/aboutprogramtext.asp?PX5=5EB7D29A003180FCA81D01734B9677003ED0FEE8
Symantec reputation:Suspicious.Insight
         

Avast erkennt ihn doch, warum ist deine Virenklingel nicht angesprungen?

hui, das ging ja schnell, dankeschön

Zitat:

Dazu müsste ich erstmal wissen, um wen es sich eigentlich handelt und was er genau macht. Deshalb lade bitte die Datei....

ich hab die Datei hochgeladen wie es da stand...aber sie wird hier nicht angezeigt, ist da alles richtig gelaufen?

Ich habe diese Einstellungen befolgt und kann jetzt überall leicht transparente Dateien und Ordner sehen, und dann wollte ich gerade eine Datei auf meinen USB Stick ziehen, da meldet mir Avast (ja....ich habs noch nicht de-installiert...) drogeras.exe und ich seh auch auf dem USB stick zwei transparente Ordner: RAPO und nestala (in dem laut Avast container auch letztens irgendwas "böses" gefunden wurde)

Ich schick mal ein Bild vom Container mit..weiß nicht, ob das was bringt, wenn nicht, einfach ignorieren

muss ich damit jetzt auch noch irgendwas spezielles machen? ist das was harmloses? soll ich den Stick drin lassen wenn ich Fixe?..falls ich fixe...
kommt der Wurm daher???

Grüße

Mittlerweile ist auch die Analyse von TE da => ThreatExpert Report: P2P-Worm.Win32.Palevo.jub, Mal/FakeAV-EW

Verbreitet sich über Netzwerke und P2P.

Bist du Teil eines lokalen Netzwerkes?

Zitat:

ist da alles richtig gelaufen?

Zitat:

in dem laut Avast container auch letztens irgendwas "böses" gefunden wurde

Was wurde gefunden? Bitte alle verfügbaren Logs posten.

Zitat:

muss ich damit jetzt auch noch irgendwas spezielles machen?

Ja.

Zitat:

ist das was harmloses?

Leider nein.

Zitat:

soll ich den Stick drin lassen wenn ich Fixe?..falls ich fixe...

Ja. Egal ob du dich für Reinigung oder Neuinstallation entscheidest, der Stick muss vorher sauber sein. Das gilt auch für alle externen Datenträger. Steht dir noch ein anderer Rechner zur Verfügung?

Zitat:

kommt der Wurm daher???

Möglich ist das. Gibt es eine autorun.inf auf dem Stick?

Falls die Dateien sich aus dem Container holen lassen, bitte auch bei uns hochladen.

ciao, andreas

Zitat:

Zitat von john.doe

Avast erkennt ihn doch, warum ist deine Virenklingel nicht angesprungen?

da kam nix (nur eben jetzt gerade als ich den USB-Stick reingesteckt hab..ist er das?)

ich hab avast zwei Mal ne anderthalbstündige komplette Systemprüfung machen lassen und jedes Mal wurden mir "keine Funde" berichtet

hallo!

sooo..hab CCleaner und Combofix laufen lassen, allerdings hatte ich keinen USB Port mehr für den Mp3Player frei...du hast glaube ich mal gesagt, dass man dann einfach combofix 2 mal laufen lassen kann, aber ich wollte zur Sicherheit lieber noch einmal nachfragen!!!

ich häng das log vom durchlauf gerade mal an

Was macht pavboot immer noch dort? MP3-Player anhängen und nochmal CF starten.

ciao, andreas

ich hab wirklich nix drauf geladen oderso!!!!
hier das Log mit Mp3 Player dran

Deinstalliere Panda Active Scan (falls noch nicht geschehen).

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
pavboot
uzizmtm5

Folder::
c:\programme\Panda Security

File::
c:\windows\system32\drivers\uzizmtm5.sys
c:\windows\system32\drivers\pavboot.sys

DirLook::
C:\6274123473413d0d309991
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

Ich vermute, dass der Stick und der MP3-Player beim Scan von Panda nicht angeschlossen waren. Du kannst Avira auch so einstellen, dass nur bestimmte Laufwerke gescannt werden. Wir brauchen Scans vom Stick, der externen Festplatte und vom MP3-Player.

ciao, andreas

beim ersten scan war auch die digicam angeschlossen, von der kein avira scan?

wenn ich scripte, was soll ich alles anschließen?
wenn ich alles anschließen soll (auch cam), kann ich auch 2 mal scripten?

Zitat:

wenn ich scripte, was soll ich alles anschließen?

Ja.

Zitat:

wenn ich alles anschließen soll (auch cam), kann ich auch 2 mal scripten?

Ja.

ciao, andreas

ah sorry, dass ich schon wieder so viel frag aber letztes Mal sollte ich die Internetverbindung vor Stufe 10 trennen...
soll ich das diesmal wieder machen?