Trojaner Trojan.Win32.Monder.gen kann mir bitte jemand helfen?
 

ich bin seid gestern am trojaner vernichten und hab mir auch schon einige eurer tools heruntergeladen. aber bei mir öffnet sich immer noch zwischendurch das fenster des inet-explorers und ich weiß nicht warum...
Helft mir doch bitte

Vielen dank schon mal im voraus

Welche Tools hast Du runtergeladen?

Poste bitte zuerst ein HiJackThis Logfile.

Hier ist mein LOGFILE von HiJackThis

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Bitte führe Combofix wie beschrieben aus.

ComboFix

• Download ComboFix von hier oder hier auf Deinen Desktop.
• Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
  (Auch Guards von Ad-, Spyware Programmen!)
  
• Doppelklicke die combofix.exe.
• Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:

• Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
  Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
• Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
• Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
• Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
• Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Vielen Vielen dank nochmals

Hier mein Logfile von Combofix:

ComboFix 08-06-16.5 - Marcus 2008-06-19 13:18:04.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Marcus\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM6750bb7b.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\doglfyak.ini
C:\WINDOWS\system32\jhgflvhj.dll
C:\WINDOWS\system32\jyqxvmle.dll
C:\WINDOWS\system32\kayflgod.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pmnOFWOG.dll
C:\WINDOWS\system32\prgrmach.ini
C:\WINDOWS\system32\pvvywssj.ini
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\vCdcdccf.ini
C:\WINDOWS\system32\vCdcdccf.ini2
C:\WINDOWS\system32\ynruykvx.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-19 bis 2008-06-19 ))))))))))))))))))))))))))))))
.

2008-06-19 13:02 . 2008-06-19 13:02 <DIR> d-------- C:\Programme\Trend Micro
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-06-19 12:20 . 2008-06-19 12:20 26 --a------ C:\WINDOWS\Lic.xxx
2008-06-19 10:58 . 2008-06-19 10:58 <DIR> d-------- C:\WINDOWS\uninstall\Erinnerung
2008-06-19 10:58 . 2008-06-19 10:58 <DIR> d-------- C:\WINDOWS\uninstall
2008-06-19 10:58 . 2008-06-19 10:58 <DIR> d-------- C:\Programme\Erinnerung
2008-06-19 10:58 . 2008-06-19 13:22 26 --a------ C:\WINDOWS\system32\erin.pfd
2008-06-19 08:38 . 2008-06-19 08:38 168 --a------ C:\WINDOWS\system32\ikhcore.cfg
2008-06-19 08:12 . 2008-06-19 09:51 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-19 08:08 . 2008-06-19 08:08 0 --a------ C:\23990098.$$$
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Vorlagen
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Startmen�
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Favoriten
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Dokumente
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Anwendungsdaten
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Vorlagen
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen�
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Dokumente
2008-06-19 08:07 . 2008-06-19 08:07 202,434 --a------ C:\WINDOWS\winsbak2.reg
2008-06-19 08:07 . 2008-06-19 08:07 23,938 --a------ C:\WINDOWS\winsbak.reg
2008-06-19 08:07 . 2005-11-03 15:53 211 --a------ C:\bootini.ins
2008-06-19 08:06 . 2004-08-04 14:00 153,600 --a------ C:\WINDOWS\R.COM
2008-06-19 08:06 . 2004-08-04 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-19 08:03 . 2008-06-19 08:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2008-06-19 08:02 . 2008-02-19 16:42 47,104 --a------ C:\WINDOWS\killproc.exe
2008-06-19 08:01 . 2008-06-19 08:08 <DIR> d-------- C:\Programme\eScan
2008-06-19 07:35 . 2008-06-19 07:35 <DIR> d-------- C:\Programme\ClearProg
2008-06-19 06:54 . 2008-06-19 06:54 0 --a------ C:\cacls
2008-06-18 17:52 . 2008-06-18 17:52 <DIR> d-------- C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\Sunbelt Software
2008-06-18 17:52 . 2008-06-18 17:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-06-18 17:51 . 2008-06-18 17:51 <DIR> d-------- C:\Programme\Sunbelt Software
2008-06-18 17:41 . 2008-06-18 17:41 <DIR> d-------- C:\!KillBox
2008-06-17 17:02 . 2008-06-17 17:02 282,624 --------- C:\WINDOWS\system32\fccdcdCv.dll
2008-06-05 14:50 . 2008-06-05 14:50 <DIR> d-------- C:\Programme\Buchungssatz-Pauker IKR 2.01 (Shareware)
2008-05-29 16:06 . 2008-05-29 16:06 <DIR> d-------- C:\Programme\PDF Page Number
2008-05-28 17:52 . 2008-05-28 17:53 <DIR> d-------- C:\Programme\gs
2008-05-28 17:50 . 2008-05-28 17:50 <DIR> d-------- C:\Programme\FreePDF_XP
2008-05-28 17:50 . 2008-05-28 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\FreePDF
2008-05-28 17:50 . 2005-01-06 18:33 119,152 --a------ C:\WINDOWS\system32\redmon.hlp
2008-05-28 17:50 . 2005-01-06 18:33 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2008-05-28 17:50 . 2005-01-06 18:33 45,056 --a------ C:\WINDOWS\system32\unredmon.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-19 09:19 43,048 ----a-w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\wklnhst.dat
2008-06-18 13:50 --------- d-----w C:\Programme\Google
2008-06-18 13:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-18 13:11 --------- d-----w C:\Programme\Nikon
2008-06-18 13:05 --------- d-----w C:\Programme\Gemeinsame Dateien\ACD Systems
2008-06-18 13:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
2008-06-18 13:04 --------- d-----w C:\Programme\Runtime Software
2008-06-18 12:32 --------- d-----w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\OpenOffice.org2
2008-06-18 09:19 --------- d-----w C:\Programme\Gemeinsame Dateien\snp2std
2008-04-21 10:27 --------- d-----w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\ATI
2008-04-21 10:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-04-21 10:02 --------- d-----w C:\Programme\ATI Technologies
2008-03-29 05:19 9,801,728 -c--a-w C:\WINDOWS\system32\atioglx2.dll
2008-03-29 04:40 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-03-29 04:05 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-03-29 04:04 299,008 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-03-29 03:56 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-03-29 03:56 126,976 -c--a-w C:\WINDOWS\system32\Oemdspif.dll
2008-03-29 03:55 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-03-29 03:55 26,112 -c--a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-03-29 03:55 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-03-29 03:54 536,576 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-03-29 03:52 53,248 -c--a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-03-29 03:43 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-03-29 03:39 307,200 -c--a-w C:\WINDOWS\system32\atiiiexx.dll
2008-03-29 03:36 1,765,120 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-03-29 03:24 46,080 -c--a-w C:\WINDOWS\system32\amdpcom32.dll
2008-03-29 03:23 5,439,488 -c--a-w C:\WINDOWS\system32\atioglxx.dll
2008-03-29 03:21 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-03-29 03:19 17,408 -c--a-w C:\WINDOWS\system32\atitvo32.dll
2008-03-29 03:12 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-03-28 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-01-10 09:34 67,224 -c--a-w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5B52CD17-EB3F-4353-B619-571DAF4223CB}]
2008-06-17 17:02 282624 --------- C:\WINDOWS\system32\fccdcdCv.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 09:23 262401]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2006-12-05 12:51 20480]
"tsnp2std"="C:\WINDOWS\tsnp2std.exe" [2006-06-19 13:37 262144]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2006-08-02 18:56 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2006-08-06 14:03 647220]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
"DMXLauncher"=C:\Programme\Dell\Media Experience\DMXLauncher.exe
"SigmatelSysTrayApp"=stsystra.exe
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"Symantec NetDriver Monitor"=C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\LeechFTP\\Leechftp.exe"=
"C:\\Programme\\Python25\\python.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 13:02]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2005-11-24 12:36]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 11:58]
S3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2006-06-07 10:34]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1a22da4-cce0-11db-b671-00123fa873f9}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

.
Inhalt des "geplante Tasks" Ordners
"2008-06-13 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
"2005-11-04 10:30:00 C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job"
- C:\WINDOWS\system32\OOBE\oobebaln.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-19 13:21:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-19 13:25:06 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-19 12:25:03

18 Verzeichnis(se), 45,230,247,936 Bytes frei
20 Verzeichnis(se), 45,263,081,472 Bytes frei

199

Und hier ist das Logfile von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Ich hab noch eine Frage:
Es öffnet sich seit ComboFix ein Fenster von "Microsoft?!" das Windows-Vista einen kostenlosen Systemcheck machen möchte ich habe gar kein Vista auf meinem Rechner.
Es folgt eine Aufforderung zum installieren eines Active-X Steuerelements, was soll ich tun es war jetzt schon drei mal offen!

Soll ich nachdem ich combofix hab laufen lassen noch etwas tun?

Vielen dank für die schnelle hilfe.

Dein System ist noch nicht Virenfrei, das ActiveX bitte nicht installieren!

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup
http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg
Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Prüfe die Datei
bitte bei http://www.virustotal.com und poste das Ergebnis hier.

Also ich hab es versucht so wie es in der Bescheibung steht aber da sagt mir ein Fenster:

Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.

Was soll ich tun?

Vielen dank für die viele mühe

Zu welchem Zeitpunkt kommt diese Meldung?
Hast Du die Textdatei auf das die Combofix.exe ziehen können?

Die meldung kommt sofort wenn ich die txt datei auf die combofix.exe ziehe.

Ich habe einen Fehler im Script endeckt! Sorry, versuche es mit diesen bitte noch einmal.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup
http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg
Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Mach ich vielen dank.

Es tut mir leid aber es funktioniert immer noch nicht.

Ich kann auch killbox.exe nicht öffnen, combofix.exe läuft auch nicht mehr.

Hast Du Administratorrechte und ist die Festplatte c: vielleicht voll?
Die Scriptdatei heißt cfscript.txt ? Beide Dateien liegen auf dem Desktop?

auf c: sind noch 42,3 gb frei, ich bin computeradministrator und die txt datei heißt cfscript.txt.

Bitte starte Combofx noch einmal, ohne das Script.

und beide sind auf dem desktop

dann kommt die selbe meldung.

wenn ich Combofix.exe ohne script starte, dann kommt die selbe meldung, wie zuvor als ich das script darauf gezogen habe.

Ich habe auch gerade einen Neustart gemacht aber gebracht hat es nichts...

Bitte loesche Combofix, gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg


Download eine neue Version ComboFix von hier oder hier auf Deinen Desktop.

Führe es erneut aus.

Es hat funktioniert. :-)

Hier das Logfile von Combofix:

ComboFix 08-06-16.5 - Marcus 2008-06-19 15:08:20.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1618 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Marcus\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Marcus\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\!KillBox
C:\!KillBox\Logs\kb.log
C:\WINDOWS\BM6750bb7b.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\fccdcdCv.dll
C:\WINDOWS\system32\jcsfdknk.ini
C:\WINDOWS\system32\knkdfscj.dll
C:\WINDOWS\system32\mphowwbx.dll
C:\WINDOWS\system32\vCdcdccf.ini
C:\WINDOWS\system32\vCdcdccf.ini2
C:\WINDOWS\system32\xsulmkfs.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-19 bis 2008-06-19 ))))))))))))))))))))))))))))))
.

2008-06-19 13:02 . 2008-06-19 13:02 <DIR> d-------- C:\Programme\Trend Micro
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-06-19 12:51 . 2008-06-19 12:51 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-06-19 12:20 . 2008-06-19 12:20 26 --a------ C:\WINDOWS\Lic.xxx
2008-06-19 10:58 . 2008-06-19 10:58 <DIR> d-------- C:\WINDOWS\uninstall\Erinnerung
2008-06-19 10:58 . 2008-06-19 10:58 <DIR> d-------- C:\WINDOWS\uninstall
2008-06-19 10:58 . 2008-06-19 10:58 <DIR> d-------- C:\Programme\Erinnerung
2008-06-19 10:58 . 2008-06-19 15:13 26 --a------ C:\WINDOWS\system32\erin.pfd
2008-06-19 08:38 . 2008-06-19 08:38 168 --a------ C:\WINDOWS\system32\ikhcore.cfg
2008-06-19 08:12 . 2008-06-19 09:51 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-19 08:08 . 2008-06-19 08:08 0 --a------ C:\23990098.$$$
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Vorlagen
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Startmen�
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Favoriten
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Dokumente
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Anwendungsdaten
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Vorlagen
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen�
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-06-19 08:07 . 2008-06-19 08:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Dokumente
2008-06-19 08:07 . 2008-06-19 08:07 202,434 --a------ C:\WINDOWS\winsbak2.reg
2008-06-19 08:07 . 2008-06-19 08:07 23,938 --a------ C:\WINDOWS\winsbak.reg
2008-06-19 08:07 . 2005-11-03 15:53 211 --a------ C:\bootini.ins
2008-06-19 08:06 . 2004-08-04 14:00 153,600 --a------ C:\WINDOWS\R.COM
2008-06-19 08:06 . 2004-08-04 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-06-19 08:03 . 2008-06-19 08:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2008-06-19 08:02 . 2008-02-19 16:42 47,104 --a------ C:\WINDOWS\killproc.exe
2008-06-19 08:01 . 2008-06-19 08:08 <DIR> d-------- C:\Programme\eScan
2008-06-19 07:35 . 2008-06-19 07:35 <DIR> d-------- C:\Programme\ClearProg
2008-06-19 06:54 . 2008-06-19 06:54 0 --a------ C:\cacls
2008-06-18 17:52 . 2008-06-18 17:52 <DIR> d-------- C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\Sunbelt Software
2008-06-18 17:52 . 2008-06-18 17:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-06-18 17:51 . 2008-06-18 17:51 <DIR> d-------- C:\Programme\Sunbelt Software
2008-06-05 14:50 . 2008-06-05 14:50 <DIR> d-------- C:\Programme\Buchungssatz-Pauker IKR 2.01 (Shareware)
2008-05-29 16:06 . 2008-05-29 16:06 <DIR> d-------- C:\Programme\PDF Page Number
2008-05-28 17:52 . 2008-05-28 17:53 <DIR> d-------- C:\Programme\gs
2008-05-28 17:50 . 2008-05-28 17:50 <DIR> d-------- C:\Programme\FreePDF_XP
2008-05-28 17:50 . 2008-05-28 17:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\FreePDF
2008-05-28 17:50 . 2005-01-06 18:33 119,152 --a------ C:\WINDOWS\system32\redmon.hlp
2008-05-28 17:50 . 2005-01-06 18:33 116,224 --a------ C:\WINDOWS\system32\redmonnt.dll
2008-05-28 17:50 . 2005-01-06 18:33 45,056 --a------ C:\WINDOWS\system32\unredmon.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-19 13:09 42,930 ----a-w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\wklnhst.dat
2008-06-18 13:50 --------- d-----w C:\Programme\Google
2008-06-18 13:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-18 13:11 --------- d-----w C:\Programme\Nikon
2008-06-18 13:05 --------- d-----w C:\Programme\Gemeinsame Dateien\ACD Systems
2008-06-18 13:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
2008-06-18 13:04 --------- d-----w C:\Programme\Runtime Software
2008-06-18 12:32 --------- d-----w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\OpenOffice.org2
2008-06-18 09:19 --------- d-----w C:\Programme\Gemeinsame Dateien\snp2std
2008-04-21 10:27 --------- d-----w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\ATI
2008-04-21 10:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-04-21 10:02 --------- d-----w C:\Programme\ATI Technologies
2008-01-10 09:34 67,224 -c--a-w C:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-06-19_13.24.51.09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-19 12:21:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-19 14:12:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 09:23 262401]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2006-12-05 12:51 20480]
"tsnp2std"="C:\WINDOWS\tsnp2std.exe" [2006-06-19 13:37 262144]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2006-08-02 18:56 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2006-08-06 14:03 647220]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DVDLauncher"="C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
"DMXLauncher"=C:\Programme\Dell\Media Experience\DMXLauncher.exe
"SigmatelSysTrayApp"=stsystra.exe
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"Symantec NetDriver Monitor"=C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\LeechFTP\\Leechftp.exe"=
"C:\\Programme\\Python25\\python.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2005-11-15 13:02]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2005-11-24 12:36]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 11:58]
S3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2006-06-07 10:34]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1a22da4-cce0-11db-b671-00123fa873f9}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

.
Inhalt des "geplante Tasks" Ordners
"2008-06-13 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
"2005-11-04 10:30:00 C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job"
- C:\WINDOWS\system32\OOBE\oobebaln.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-19 15:13:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-19 15:16:17 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-19 14:16:13
ComboFix2.txt 2008-06-19 12:25:07

18 Verzeichnis(se), 45,228,290,048 Bytes frei
19 Verzeichnis(se), 45,221,212,160 Bytes frei

179

Vielen Dank

Ich hab alles ausgeführt was in der Liste stand, kann ich sonst noch etwas tun?

das sieht sehr gut aus.

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Zur Sicheheit führen wir noch gmer aus.

GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-19 15:53:10
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT 89474AD0 ZwConnectPort

---- Kernel code sections - GMER 1.0.14 ----

? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. !
? C:\ComboFix\catchme.sys Das System kann den angegebenen Pfad nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Internet Explorer\iexplore.exe[1436] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1436] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 44671712 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1436] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 44671693 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1436] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 446716D7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1436] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 4467161F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1436] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 44671659 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1436] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 4467174D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1436] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Classes\CLSID\{F16633BB-6FFB-FEEF-6851EE4CF61ADAA7}\{8DE0EF13-9AB8-84BF-28848AB6F741F092}\{2912CDF2-3190-D0FE-95FF87CEE55A8F74}
Reg HKLM\SOFTWARE\Classes\CLSID\{F16633BB-6FFB-FEEF-6851EE4CF61ADAA7}\{8DE0EF13-9AB8-84BF-28848AB6F741F092}\{2912CDF2-3190-D0FE-95FF87CEE55A8F74}@NRDFOBLVNAUE2QOGEQXAH1Y2DD1 0x01 0x00 0x01 0x00 ...

---- EOF - GMER 1.0.14 ----

Da bin ich mal gespannt ob es immer noch so gut aussieht ^^.

Vielen vielen dank, die fenster öffnen sich auch schon nicht mehr.

Ist das schön, dankeschön

Ok, das ist ok, Poste bitte ein neues HiJackThis Logfile.
Das System nun mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:46, on 19.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\tsnp2std.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Marcus\Lokale Einstellungen\Temp\wz35b2\gmer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Erinnerung.lnk = C:\Programme\Erinnerung\erinnerung.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hp://www.update.microsoft.com/window...?1208769942859
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hp://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6AEC081A-EE45-44FE-88F8-2EAC36B3F0D8}: NameServer = 194.25.2.129,192.168.2.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Marcus/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: (no name) - hp://www.tariftip.de/images/whole_site_background3.gif

--
End of file - 6125 bytes

Bitte ediere die Links noch aus Deinem HJT Logfile!

Gmer Deinstallieren
Starte die Datei C:\WINDOWS\gmer_uninstall.cmd mit einem Doppelklick, starte nach dem ausführen den Rechner neu.

Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!


Dann gleich noch das Avira Logfile.

Wird gemacht, allerdings ist die letzte funktion bei mir nicht verfügbar ist das schlimm?

Welche Funktion fehlt Dir?

edieren? was ist das?

Rootkit-Suche bei Neustart heißt die Funktion

Die Links sollen nicht klickbar gemacht werden (aus http z.B. h**p machen)
http://saved.im/mzixmjgyogz5/edit.jpg
Den Button "editieren" drücken. :)

Ok, dann stell den Rest ein, wie beschrieben.

kann und darf ich irgendwie mit dir in kontakt bleiben, falls ich noch einmal probleme haben sollte?
Wäre stark.

Vielen dank nochmal Avira läuft noch

Du findest mich hier oder auch in einigen anderne Board. :)
Warten wir mal den Scan ab.

kk ^^noch 18%

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 19. Juni 2008 16:01

Es wird nach 1348211 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HANNES

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 17.04.2008 08:23:24
AVSCAN.DLL : 8.1.1.0 57601 Bytes 17.04.2008 08:23:24
LUKE.DLL : 8.1.2.9 151809 Bytes 17.04.2008 08:23:24
LUKERES.DLL : 8.1.2.0 12545 Bytes 17.04.2008 08:23:24
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 08:12:01
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 10:16:42
ANTIVIR2.VDF : 7.0.4.195 2546176 Bytes 14.06.2008 09:01:27
ANTIVIR3.VDF : 7.0.4.223 222720 Bytes 19.06.2008 14:58:56
Engineversion : 8.1.0.55
AEVDF.DLL : 8.1.0.5 102772 Bytes 17.04.2008 08:23:25
AESCRIPT.DLL : 8.1.0.40 266618 Bytes 09.06.2008 11:24:12
AESCN.DLL : 8.1.0.21 119156 Bytes 09.06.2008 11:24:12
AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 10:12:42
AEPACK.DLL : 8.1.1.5 364918 Bytes 09.06.2008 11:24:11
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 19.04.2008 09:01:59
AEHEUR.DLL : 8.1.0.30 1253750 Bytes 09.06.2008 11:24:10
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.06.2008 11:24:09
AEGEN.DLL : 8.1.0.28 307572 Bytes 09.06.2008 11:24:09
AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 08:25:56
AECORE.DLL : 8.1.0.31 168310 Bytes 09.06.2008 11:24:08
AVWINLL.DLL : 1.0.0.7 14593 Bytes 17.04.2008 08:23:24
AVPREF.DLL : 8.0.0.1 25857 Bytes 17.04.2008 08:23:24
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 15:24:38
AVREG.DLL : 8.0.0.0 30977 Bytes 17.04.2008 08:23:24
AVARKT.DLL : 1.0.0.23 307457 Bytes 17.04.2008 08:23:24
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 17.04.2008 08:23:24
SQLITE3.DLL : 3.3.17.1 339968 Bytes 17.04.2008 08:23:24
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 17.04.2008 08:23:24
NETNT.DLL : 8.0.0.1 7937 Bytes 17.04.2008 08:23:24
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 17.04.2008 08:23:21
RCTEXT.DLL : 8.0.32.0 86273 Bytes 17.04.2008 08:23:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 19. Juni 2008 16:01

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gmer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINZIP32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tsnp2std.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '21' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 19. Juni 2008 16:55
Benötigte Zeit: 54:21 min

Der Suchlauf wurde vollständig durchgeführt.

8925 Verzeichnisse wurden überprüft
472975 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
472975 Dateien ohne Befall
10192 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Avira meldet keine Funde. :daumenhoc
Viel Spaß im Netz.

Jawoll^^ vielen vielen dank nochmal und ein schönes wochenende wünsch ich dir!

Mache jetzt noch das Java update und dann bin ich fertig.

THX4ALL

Hi! Ich brauche dringend Hilfe!

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]