Trojaner-Board - Malwarebytes kann es nicht löschen ( Rogue.Multiple )

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Malwarebytes kann es nicht löschen ( Rogue.Multiple ) (https://www.trojaner-board.de/57840-malwarebytes-loeschen-rogue-multiple.html)

so und nun der ganze rest der file....

Code:

----- Windows -------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: B05A-517E
 

 Verzeichnis von C:\WINDOWS
 

14.08.2008  11:05             4.933 KB951978.log

14.08.2008  11:05         1.705.391 WindowsUpdate.log

14.08.2008  11:02                 0 0.log

14.08.2008  11:01               159 wiadebug.log

14.08.2008  11:01                50 wiaservc.log

14.08.2008  11:01             2.048 bootstat.dat

14.08.2008  01:26            26.994 SchedLgU.Txt

14.08.2008  01:26             1.374 imsins.log

14.08.2008  01:26           213.562 ntdtcsetup.log

14.08.2008  01:26           486.059 tsoc.log

14.08.2008  01:26            57.134 ocmsn.log

14.08.2008  01:26            53.967 tabletoc.log

14.08.2008  01:26           355.802 comsetup.log

14.08.2008  01:26         1.170.854 iis6.log

14.08.2008  01:26            20.322 KB952954.log

14.08.2008  01:26           185.491 netfxocm.log

14.08.2008  01:26           508.005 ocgen.log

14.08.2008  01:26            75.099 MedCtrOC.log

14.08.2008  01:26            52.936 msgsocm.log

14.08.2008  01:26         1.056.449 FaxSetup.log

14.08.2008  01:26           329.754 msmqinst.log

14.08.2008  01:26           180.438 updspapi.log

14.08.2008  01:26             1.374 imsins.BAK

14.08.2008  01:26            14.170 KB946648.log

14.08.2008  01:26            13.731 KB953839.log

14.08.2008  01:26            23.046 KB950974.log

14.08.2008  01:26            32.834 KB951072-v2.log

14.08.2008  01:26            13.628 KB952287.log

14.08.2008  01:26            19.590 KB953838-IE7.log

14.08.2008  01:25             7.884 KB951066.log

14.08.2008  00:12               552 WINCMD.INI

13.08.2008  17:18           374.451 setupapi.log

13.08.2008  10:24            38.527 spupdsvc.log

13.08.2008  10:23               359 DtcInstall.log

13.08.2008  10:23            20.037 wmsetup.log

13.08.2008  10:23             1.174 OEWABLog.txt

13.08.2008  10:22               187 spupdsvc.log.1.log

13.08.2008  10:22           760.626 setuplog.txt

13.08.2008  10:19           485.190 svcpack.log

13.08.2008  10:18           220.128 KB951748.log

13.08.2008  10:17           208.205 KB951698.log

13.08.2008  10:16           212.905 KB951376-v2.log

13.08.2008  10:14           203.642 KB950762.log

13.08.2008  10:13            22.083 KB942763.log

13.08.2008  10:09               373 cmsetacl.log

13.08.2008  10:09             1.334 sessmgr.setup.log

13.08.2008  09:46            22.103 avmfwlanci.log

11.08.2008  20:06               151 wcx_ftp.ini

29.07.2008  22:40               192 winamp.ini

27.07.2008  00:41             1.275 mozver.dat

24.07.2008  20:05                49 NeroDigital.ini

24.07.2008  18:51                 0 nsreg.dat

17.07.2008  23:51             1.006 DirectX.log

08.07.2008  18:54            23.040 KB950759-IE7.log

08.07.2008  18:51             9.325 KB927891.log

08.07.2008  18:51             5.648 KB929399.log

08.07.2008  18:51             8.253 KB950760.log

08.07.2008  18:50             5.373 KB939683.log

08.07.2008  18:50            13.801 KB930916.log

08.07.2008  18:50            16.791 KB950749.log

08.07.2008  18:49            18.172 KB932823-v3.log

07.07.2008  23:57             9.457 KB898461.log

07.07.2008  09:03               582 win.ini

28.06.2008  18:26               375 nsw.log

25.06.2008  16:07             5.820 avmadd321.log

25.06.2008  16:07             3.750 avminstcli.log

25.06.2008  16:07             4.954 avmsetup.log

25.06.2008  16:07             1.955 avmadd32.log

25.06.2008  16:07            11.146 avmacc.log

19.05.2008  22:33            44.952 KB947864-IE7.log

19.05.2008  22:26            27.530 KB938127-IE7.log

19.05.2008  22:25            36.504 KB937143-IE7.log

19.05.2008  22:24           293.832 msxml4-KB936181-deu.LOG

19.05.2008  22:19            19.417 KB928090-IE7.log

19.05.2008  22:16            15.617 wmp11.log

19.05.2008  22:16             6.419 KB926239.log

19.05.2008  22:15            26.007 WMFDist11.log

19.05.2008  22:14           316.640 WMSysPr9.prx

19.05.2008  22:11            15.831 ie7_main.log

19.05.2008  22:11           104.414 ie7.log

19.05.2008  22:09            48.137 IDNMitigationAPIs.log

19.05.2008  22:09            47.857 NLSDownlevelMapping.log

19.05.2008  22:08            49.978 KB915865.log

19.05.2008  22:08            48.372 XpsEPSC.log

19.05.2008  22:06            49.010 KB924941.log

19.05.2008  21:55            30.793 KB893803v2.log

19.05.2008  21:44                 0 Sti_Trace.log

19.05.2008  21:41             1.348 regopt.log

19.05.2008  21:41               231 system.ini

19.05.2008  20:56                87 djbcp.ini

19.05.2008  20:55                52 oobeact.log

19.05.2008  20:55             8.192 REGLOCS.OLD

19.05.2008  20:54           179.552 setupact.log

19.05.2008  20:54               625 setuperr.log

19.05.2008  20:50                 0 control.ini

19.05.2008  20:50             4.161 ODBCINST.INI

19.05.2008  20:48               749 WindowsShell.Manifest

19.05.2008  20:46                37 vbaddin.ini

19.05.2008  20:46                36 vb.ini

14.04.2008  07:53           288.768 winhlp32.exe

14.04.2008  07:53            32.866 slrundll.exe

14.04.2008  07:53           153.600 regedit.exe

14.04.2008  07:52            70.144 notepad.exe

14.04.2008  07:52            10.752 hh.exe

14.04.2008  07:52         1.036.800 explorer.exe

14.04.2008  07:52            50.688 twain_32.dll

29.12.2006  00:31            19.569 003016_.tmp

28.12.2006  01:02             7.031 instwcli.inf

04.08.2004  01:59         1.014.663 SET3.tmp

04.08.2004  01:55            14.043 SET8.tmp

04.08.2004  01:53         1.086.058 SET4.tmp

26.07.2004  05:21            58.640 zllsputility.exe

13.03.2004  12:11                 0 graphedt.INI

18.08.2001  16:00            25.600 twunk_32.exe

18.08.2001  16:00            65.832 Santa Fe-Stuck.bmp

18.08.2001  16:00            17.362 Rhododendron.bmp

18.08.2001  16:00            65.954 Pr„riewind.bmp

18.08.2001  16:00            18.944 vmmreg32.dll

18.08.2001  16:00            94.800 twain.dll

18.08.2001  16:00             1.272 Blaue Spitzen 16.bmp

18.08.2001  16:00            17.336 Angler.bmp

18.08.2001  16:00            82.944 clock.avi

18.08.2001  16:00             1.405 msdfmap.ini

18.08.2001  16:00                 2 desktop.ini

18.08.2001  16:00            17.062 Kaffeetasse.bmp

18.08.2001  16:00            65.978 Seifenblase.bmp

18.08.2001  16:00           257.568 winhelp.exe

18.08.2001  16:00            15.872 TASKMAN.EXE

18.08.2001  16:00            48.680 winnt.bmp

18.08.2001  16:00            48.680 winnt256.bmp

18.08.2001  16:00            49.680 twunk_16.exe

18.08.2001  16:00            26.582 Granit.bmp

18.08.2001  16:00            34.818 wmprfDEU.prx

18.08.2001  16:00            26.680 F„cher.bmp

18.08.2001  16:00            16.730 Feder.bmp

18.08.2001  16:00                80 explorer.scf

18.08.2001  16:00             9.522 Zapotek.bmp

18.08.2001  16:00               707 _default.pif

01.08.1995  04:44           212.480 PCDLIB32.DLL

             139 Datei(en)     15.768.641 Bytes

               0 Verzeichnis(se), 63.041.646.592 Bytes frei

 

----- Tasks ---------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: B05A-517E
 

 Verzeichnis von C:\WINDOWS\tasks
 

14.08.2008  11:01                 6 SA.DAT

08.08.2008  15:01               408 Norton Security Scan.job

18.08.2001  16:00                65 desktop.ini

               3 Datei(en)            479 Bytes

               0 Verzeichnis(se), 63.041.646.592 Bytes frei

 

----- Wintemp -------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: B05A-517E
 

 Verzeichnis von C:\WINDOWS\temp
 

 

----- Temp ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: B05A-517E
 

 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
 

14.08.2008  11:26           122.948 filelist.txt

14.08.2008  11:11           114.688 ~DF328C.tmp

14.08.2008  11:07               634 filelist.zip

14.08.2008  11:06               346 jusched.log

14.08.2008  11:03                 0 etilqs_NrV7PkJkexjl6qkRbt1r

14.08.2008  11:01            16.384 ~DFF3A0.tmp

13.08.2008  23:30            16.384 ~DF6478.tmp

13.08.2008  19:59           212.843 hijackthis_199.zip

31.10.2006  01:00           145.184 ose00000.exe

26.07.2002  05:07           346.602 IEC77.tmp

              10 Datei(en)        976.013 Bytes

               0 Verzeichnis(se), 63.041.642.496 Bytes frei

wenn ich das alles bezahlen müsste (deine Bemühungen) wäre ich sicherlich schon arm!!!:heulen:

Danke!

Hallo

ich zitier mich mal selbst.....

Zitat:

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:

:rolleyes:
Ich hab mir jetzt auch nur die letzten Wochen angeschaut, lade dir mal den Ccleaner und lass dein System entmüllen;), lass auch die Registry bereinigen.
Kontrolliere anschließend bitte den Ordner
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

ob diese Dateien mitgelöscht wurden

etilqs_NrV7PkJkexjl6qkRbt1r
ose00000.exe

wenn nicht bitte händisch löschen.

Zitat:

wenn ich das alles bezahlen müsste (deine Bemühungen) wäre ich sicherlich schon arm!

So würdest du nicht werden, mein Stundesnsatz bewegt sich als Wartungstechniker unter 20€

Wie stehts mit den Popups gibt es noch Probleme?

MFG

habe alles mit dem ccleaner bereinigt..

Mit den popups geht es soweit gut also ich meine es kommen eben keine.

Die datei 00000.exe habe ich auch gelöscht.

Ich würde dich trotzdem nochmal bitten dir zur sicherheit mein aktuell frischen hijack anzusehen ob nun wirklich alles in Ordnung ist .......Ich möchte auf nummer sicher gehen.
Über tipps bzw. programme die ich sonst noch benötige zum schutz davor (deine empfehlungen) würde ich mich noch sehr freuen.....

hier aber noch mal hijack:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:06:11, on 15.08.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Winamp\winampa.exe

C:\Programme\Canon\MyPrinter\BJMyPrt.exe

C:\Programme\avmwlanstick\wlangui.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe

C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

C:\Programme\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

C:\Programme\Nikon\PictureProject\NkbMonitor.exe

C:\Programme\avmwlanstick\WlanNetService.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Spyware Doctor\pctsAuxs.exe

C:\Programme\Spyware Doctor\pctsSvc.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll

O2 - BHO: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Programme\myBabylon\tbmyBa.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O3 - Toolbar: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Programme\myBabylon\tbmyBa.dll

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?AuthParam=1215634448_753d0308518b914ae3146029990155f7&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab&File=jinstall-6u7-windows-i586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{08241DB7-8162-45EA-85FD-B32ABA6BFDE7}: NameServer = 62.220.18.8 89.246.64.8

O17 - HKLM\System\CS3\Services\Tcpip\..\{08241DB7-8162-45EA-85FD-B32ABA6BFDE7}: NameServer = 62.220.18.8 89.246.64.8

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
 

--

End of file - 9761 bytes

Vielen dank!!!! Du hast mir wirklich sehr geholfen!!!!
Ps: sollte ich vllt auch noch mal Malwarebyte und blacklight laufen lassen ????
Oder auch ne neue filelist ???

Moin

Zitat:

sollte ich vllt auch noch mal Malwarebyte und blacklight laufen lassen ?
Oder auch ne neue filelist ?

sollte nicht nötig sein.

Zitat:

Ich würde dich trotzdem nochmal bitten dir zur sicherheit mein aktuell frischen hijack anzusehen ob nun wirklich alles in Ordnung ist .......Ich möchte auf nummer sicher gehen.

Eine Aussage zu treffen ob ein System sauber ist, weil das Hijack Log sauber ist, währe gewagt, in deinem Log ist nix zu finden.

Zitat:

Über tipps bzw. programme die ich sonst noch benötige zum schutz davor (deine empfehlungen) würde ich mich noch sehr freuen.....

Programmtips gebe ich nicht sooo gerne, aber Malwarebytes als zusätzliches Scanprogramm finde ich nicht schlecht.
Was zu lesen --> Malte J. Wetz Online

Irgendwie hab ichs verissen:balla: ich hatte dich, glaub ich, falsch verstanden
lass bitte die Datei

C:\install.cmd

doch noch auswerten, eventuell schiessen wir sie dann mit Avenger ab ;).

MFG

Hallo,

Ich habe C:\install.cmd bei jotti scannen lassen. Dort wurde kein virus gefunden.

ich habe auch noch mal neu navilog erstell, Blacklight durchlaufen lassen und malwarebyte suchen lassen .

Mit ccleaner habe ich alle windows sachen und auch die registry bereinigen lassen.

alle log´s poste ich nochmal da ich nicht verstehe das malwarebyte immernoch den gleichen treffer meldet......:headbang::heulen:
Malwarebyte:

Code:

Malwarebytes' Anti-Malware 1.24

Datenbank Version: 1012

Windows 5.1.2600 Service Pack 3
 

15:50:54 15.08.2008

mbam-log-8-15-2008 (15-50-31)neu
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 37968

Laufzeit: 5 minute(s), 47 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Install (Rogue.Multiple) -> No action taken.

Blacklight:

Code:

08/15/08 14:48:20 [Info]: BlackLight Engine 1.0.70 initialized

08/15/08 14:48:20 [Info]: OS: 5.1 build 2600 (Service Pack 3)

08/15/08 14:48:21 [Note]: 7019 4

08/15/08 14:48:21 [Note]: 7005 0

08/15/08 14:48:23 [Note]: 7006 0

08/15/08 14:48:24 [Note]: 7011 1296

08/15/08 14:48:24 [Note]: 7035 0

08/15/08 14:48:24 [Note]: 7026 0

08/15/08 14:48:24 [Note]: 7026 0

08/15/08 14:48:29 [Note]: FSRAW library version 1.7.1024

08/15/08 14:55:05 [Note]: 7007 0

Navilog:

Code:

Search Navipromo version 3.6.3 began on 15.08.2008 at 14:56:12,81
 

!!! Warning, this report may include legitimate files/programs !!!

!!! Post this report on the forum you are being helped !!!

!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Actual User Account : "Administrator" 
 

Updated on 09.08.2008 at 18h00 by IL-MAFIOSO
 
 

Microsoft Windows XP [Version 5.1.2600]

Version Internet Explorer : 7.0.5730.13

Filesystem type : NTFS
 

Search done in normal mode
 

*** Searching for installed Software ***
 
 

*** Search folders in "C:\WINDOWS" ***
 
 

*** Search folders in "C:\Programme" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
 
 

*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Administrator\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *** 
 
 

*** Search folders in "C:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" *** 
 
 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***

for more info : http://www.gmer.net
 
 
 

*** Search with GenericNaviSearch ***

!!! Possibility of legitimate files in the result !!!

!!! Must always be checked before manually deleting !!!
 

* Scan in "C:\WINDOWS\system32" *
 

* Scan in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" * 
 
 
 

*** Search files *** 
 
 
 

*** Search specific Registry keys ***
 
 

*** Complementary Search ***

(Search specific files)
 

1)Search new Instant Access files :
 
 

2)Heuristic Search :
 

* In "C:\WINDOWS\system32" :
 
 

* In "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" : 
 
 

3)Certificates Search :
 

Egroup certificate not found !

Electronic-Group certificate not found !

Montorgueil certificate not found !

OOO-Favorit certificate not found !

Sunny-Day-Design-Ltd certificate not found !
 

4)Search known files :
 
 
 

*** Search completed on 15.08.2008 at 14:59:39,14 ***

Warum ist das so ???? --> DAS INTERNET IST GEGEN MICH <--

PS: Malwarebyte sagt dann immer nach der aktion "entferne Auswahl"
Infizierte Dateien:
"C:\Install (Rogue.Multiple) -> delete on reboot."

wie oft soll ich aber rebooten ???? Löschen kann es malwarebyte ja trotzdem nicht...:confused::heulen:

Langsam verzweifele ich............

sven

Hallo nochdigger,
Danke für den link " was zu lesen ". Ich habe mich mit der seite beschäftigt und muss leider zugeben das ich null ahnung von linux usw habe....
jedoch sind einige sachen sehr interresant.. schau dann bitte noch mal in deinem Nachrichtenfach... ( will das nicht öffentlich posten falls ich da was falsch verstanden habe:rolleyes: )

Ich habe mal noch antivir laufen lassen unter "experteneinstellungen";"agressiv suchen lassen" ( habe ich nachgelesen hier im board ) und siehe da was avira gefunden hat.....

Code:

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Freitag, 15. August 2008  18:37
 

Es wird nach 1552297 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 3)  [5.1.2600]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     MICROSOFT
 

Versionsinformationen:

BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00

AVSCAN.EXE    : 8.1.4.7       315649 Bytes  17.07.2008 17:54:34

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 17:54:34

LUKE.DLL      : 8.1.4.5       164097 Bytes  17.07.2008 17:54:34

LUKERES.DLL   : 8.1.4.0        12545 Bytes  17.07.2008 17:54:34

ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34

ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 17:51:06

ANTIVIR2.VDF  : 7.0.6.10     2587136 Bytes  14.08.2008 20:43:48

ANTIVIR3.VDF  : 7.0.6.16       16896 Bytes  14.08.2008 20:43:49

Engineversion : 8.1.1.19  

AEVDF.DLL     : 8.1.0.5       102772 Bytes  25.02.2008 09:58:21

AESCRIPT.DLL  : 8.1.0.63      311673 Bytes  07.08.2008 20:43:52

AESCN.DLL     : 8.1.0.23      119156 Bytes  16.07.2008 17:50:34

AERDL.DLL     : 8.1.0.20      418165 Bytes  29.06.2008 17:51:12

AEPACK.DLL    : 8.1.2.1       364917 Bytes  16.07.2008 17:50:34

AEOFFICE.DLL  : 8.1.0.21      192891 Bytes  19.07.2008 12:54:49

AEHEUR.DLL    : 8.1.0.47     1368437 Bytes  07.08.2008 20:43:51

AEHELP.DLL    : 8.1.0.15      115063 Bytes  29.06.2008 17:51:09

AEGEN.DLL     : 8.1.0.35      315764 Bytes  07.08.2008 20:43:50

AEEMU.DLL     : 8.1.0.7       430452 Bytes  31.07.2008 20:43:21

AECORE.DLL    : 8.1.1.8       172406 Bytes  31.07.2008 20:43:20

AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 17:54:35

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  17.07.2008 17:54:34

AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 17:54:34

AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 20:43:16

AVREG.DLL     : 8.0.0.1        33537 Bytes  17.07.2008 17:54:34

AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 17:54:34

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  17.07.2008 17:54:34

NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  17.07.2008 17:54:31

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  17.07.2008 17:54:31
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, E:, F:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Freitag, 15. August 2008  18:37
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Es wurden '37872' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sp_rsser.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WLanNetService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NkbMonitor.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SpywareTerminatorShield.Exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '40' Prozesse mit '40' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'E:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'F:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '56' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\hiberfil.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
 C:\System Volume Information\_restore{87D3AC37-169A-40C5-B1B0-A0F4CE70816D}\RP179\A0017408.exe

    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d5b700.qua' verschoben!

C:\System Volume Information\_restore{87D3AC37-169A-40C5-B1B0-A0F4CE70816D}\RP201\A0018428.exe

    [0] Archivtyp: RAR SFX (self extracting)

      --> AAComp~1.cab

        [1] Archivtyp: CAB (Microsoft)

        --> M_AA2_WeaponsCache.usx.fz

          [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

C:\WINDOWS\system32\drivers\atapi.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Suche in 'E:\' <platte2 -1>

Beginne mit der Suche in 'F:\' <platte2-2>
 
 

Ende des Suchlaufs: Freitag, 15. August 2008  19:38

Benötigte Zeit:  1:00:32 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

   4140 Verzeichnisse wurden überprüft

 197907 Dateien wurden geprüft

      1 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      1 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      3 Dateien konnten nicht durchsucht werden

 197903 Dateien ohne Befall

   1841 Archive wurden durchsucht

      4 Warnungen

      1 Hinweise

  37872 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Ich habe TR/Dropper.Gen ( mit avira ) zwar gelöscht aber wie kann es sein das es vorher sichtbar gewesen ist??

Nun bin ich aber etwas verwirrt:balla:

Hijack ist ok ???!! (kann es nicht finden richtig??? habe ich jedenfalls auch hier nachgelesen...)

Kommt daher evtl auch die infektion die in malwarebytes gefunden wird ??? ( seite " 2 " )

Was sagt nun blacklight im o.g. log ??? ( seite " 2 " )

Ich bin sogar sehr verwirrt...:balla::headbang:

Bitte hilf mir...---> führe mich vom dunkeln ins licht <---
Danke..

Nach erneutem suchlauf mit avira nichts mehr gefungen.....*nix mehr versteh*

Hallo

Zitat:

führe mich vom dunkeln ins licht

Na dann werd ich dir mal heimleuchten;)

versuche bitte im abgesicherten Modus (beim start F8 drücken) diese Datei
C:\install.cmd
in einen von dir angelegten Ordner zu verschieben.

Zitat:

Hijack ist ok ?

Dein Hijack Log war/ist unauffällig

Zitat:

Ich habe mal noch antivir laufen lassen...und siehe da was avira gefunden hat.....

Der "Schädling" ist mitgesichert worden in der Systemwiederherstellung, um ihn loszuwerden deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

MFG

Haollo nochdigger,

ich habe die systemwiederherstellung aus gemacht und alles befolgt wie es dort steht.

Im abgesicherten modus habe ich dann auch noch mal mbam laufen lassen was aber da nichts gefunden hat...

nach dem neustart im " normalbootmodus " lies ich mbam noch mal zur kontrolle laufen und die infektion war wieder da.

Code:

Malwarebytes' Anti-Malware 1.24

Datenbank Version: 1012

Windows 5.1.2600 Service Pack 3
 

01:00:38 16.08.2008

mbam-log-8-16-2008 (01-00-38).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 37665

Laufzeit: 5 minute(s), 49 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Install (Rogue.Multiple) -> Delete on reboot.

wie können wir jetzt noch weiter fortfahren ??

sven

Hallo

dann lade dir bitte Avenger runter
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text (inhalt der Codebox) in das weiße Feld bei -> "input script here"

Code:

Files to delete:

C:\install.cmd

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

MFG

Hallo nochdigger,

Hier die logfile von Avenger:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\install.cmd" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

ich hatte den avenger auch so schon mal runtergeladen ( du sagtest/schriebst ) das wir dann mit avenger abschliessen.

Hier mal die logfile vom 1. scan:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Leider findet mbam immernoch die infizierung...........:heulen:

Sven

Hallo nochdigger,

die log`s sehen für mich als nichtprofi gut aus.

was könnte man nun noch machen ??
Ich lese immer mal wieder combofix.......

Es damit mal versuchen ????

LG sven

Hallo

Zitat:

Ich lese immer mal wieder combofix.......

Hm, Combofix hatte ich auch schon überlegt, was mich aber ein wenig (Mücke auf der Tastatur breitgeschlagen:crazy: ) stuzig macht ist, dass die Datei von 2004 sein soll.
Was für Informationen erhälst du, wenn du die Datei mit der rechten Maustaste anklickst und nach den Eigenschaften schaust?

MFG

Hi,

würdest du mir zuliebe bitte ein filelisting mit diesem script erstellen: - Script abspeichern per Rechtsklick, speichern unter auf dem Desktop - Doppelklick auf listing7.cmd auf dem Desktop - nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

hallo myrtille,

Hier schon mal die gewünschten sachen...

HTML-Code:

http://www.file-upload.net/download-1050163/listing.txt.html

Ich hoffe ihr könnt was daraus lesen....

ps: Ich hoffe es ist so richtig.....
Lg Sven

Hallo nochdigger,

Also wenn ich die eigenschaften wähle bekomme ich folgende infos:

Typ : Ordner

Ort : C:\

Grösse: 99,8 MB (104.661.852 Bytes)

Grösse auf datenträger : 99,8 MB (104.714.240 Bytes)

Inhalt: 19 Dateinen, 8 Ordner

Attribute: Schreibgeschützt

Erstellt: 19.MAI 2008

Naja drin steckt das alles ......

NERO ., Ultra DVD, WINAMP; WINRAR, regtweak, CodePack, AcrobatReader;
ZoneAlarm ( aber nicht aktiv ) naja und ein programm das wohl nicht so doll ist .... Alcohol120%:heilig:

Sind das die gewünschten Infos ????

Lg Sven