Trojaner-Board - Dialer, Weiterleitung auf andere Homepages & Blockierung von Homepages

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Dialer, Weiterleitung auf andere Homepages & Blockierung von Homepages (https://www.trojaner-board.de/74783-dialer-weiterleitung-andere-homepages-blockierung-homepages.html)

Das Protokoll ist ewiglang.

Hier der link zur File:

http://www.materialordner.de/MVayhEBJeeHhiU1Vw2Phd0xmCleyFrHh.html

Ich brauche nochmal ein Filelisting. Erstelle ein neues listing.txt, lade es hoch und poste den Link.

ciao, andreas

hier der link:

http://www.materialordner.de/sawybJLjGQcZKKqJ6dVVca7GHRge7mUp.html

Der Scan mit Kaspersky dauert ewig - ich war nach einer Stunde bei 16%.

Ich geh jetzt schlafen & mach die Scans morgen.

Sobald ich die Protokolle habe, poste ich sie hier.

Gute Nacht & Vielen Dank für alles!

ab-insbett.de

Gute Nacht,
andreas

Hallo,

hier bin ich wieder.
Der Scan mit PREVX hat nichts ergeben.

Und nach 9 Stunden Scan mit Kaspersky, hier das Protokoll:
(angezeigt wurden 6 Viren und 8 infizierte Objekte)

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 5. Juli 2009 23:29:04
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 5/07/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2198341
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 123827
Viren gefunden: 6
Infizierte Objekte gefunden: 8
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 09:09:18

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\46nmkgvr.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\temp\etilqs_1v9NBNRzTVJkvJBKQLc9 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2997C193-A464-4307-88C9-F9C00083CD16.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009070520090706\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Sarah\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AGENT_LOG1.txt Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BINARY\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db Das Objekt ist gesperrt übersprungen
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db-journal Das Objekt ist gesperrt übersprungen
C:\Qoobox\Quarantine\C\Programme\AntiSpywareXP2009\Uninstall.exe.vir Infizierte Objekte: Trojan.Win32.FraudPack.gsr übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip/TDSSpplt.sys Infizierte Objekte: Backdoor.Win32.TDSS.bkw übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip ZIP: infiziert - 1 übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSarxx.dll.vir Infizierte Objekte: Backdoor.Win32.TDSS.asz übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSScfbv.dll.vir Infizierte Objekte: Rootkit.Win32.TDSS.dbg übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSoity.dll.vir Infizierte Objekte: Backdoor.Win32.TDSS.blh übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSvoql.dll.vir Infizierte Objekte: Backdoor.Win32.TDSS.atb übersprungen
C:\Qoobox\Quarantine\C\WINDOWS\system32\wini10801.exe.vir Infizierte Objekte: Trojan.Win32.FraudPack.gsr übersprungen
C:\System Volume Information\_restore{586CC8E9-3CC5-410D-A14C-81EE23D99D0B}\RP1\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_738.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Hallo,

hier bin ich wieder.

Ich habe gerade einen Scan mit dem upgedateten Avira gemacht & es sagt mir, dass mein Computer mit dem TR/Trash.Gen Trojaner infiziert ist.

Er lässt sich weder mit Avira löschen, noch in Quarantäne verschieben.
Ich habe an anderer Stelle im Forum gelesen, mal Malwarebytes drüberlaufenzulassen und bin da gerade dabei.

Sollte ich parallel noch was machen um den Trojaner wieder loszuwerden?

Grüsse & Danke im Vorraus für die Hilfe!

Ganz ruhig bleiben. Das ist eine Falschmeldung von Avira, die bekommen das wohl nie gebacken. Einfach ignorieren. In letzter Zeit habe ich mehr Falschmedlungen an Avira geschickt als Schädlinge. :D

Kasper hat nur die Quarantäne von Combofix gefunden, das sieht schonmal gut aus. Deinstalliere Combofix mit =>

Start => Ausführen => combofix /u => OK.

ciao, andreas

Mit dem Deinstallieren sollte ich aber warten, bis Malwarebytes den Scan abgeschlossen hat, oder?
Im Moment hat das Programm 3 infizierte Objekte gefunden.

Andere Frage: der Befehl zum deinstallieren von Combofix ist combofix"space"/u, oder ohne space (will nix falschmachen so kurz vor dem Ziel..)?

Gruss,
Sarah

Zitat:

Mit dem Deinstallieren sollte ich aber warten, bis Malwarebytes den Scan abgeschlossen hat, oder?

Nein, kannst du parallel machen. MbAm findet bestimmt auch nur die Quarantäne von Combofix. :D

Zitat:

Andere Frage: der Befehl zum deinstallieren von Combofix ist combofix"space"/u, oder ohne space (will nix falschmachen so kurz vor dem Ziel..)?

Mit. Mom, gibt sogar ein Bild.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

ciao, andreas

Hallo,

Im Endeffekt hat Malwarebytes 6 Objekte gefunden - habe auf alle entfernen geklickt und danach Combofix deinstalliert (ich hab das Protokoll gespeichert, falls du einen Blick drauf werfen willst).

Ist noch was zu tun? Der Computer läuft echt sehr viel besser & macht eigentlich keine Probleme mehr (dauert nur ein bisschen beim Ausschalten, aber ich denke das hängt auch mit seinem Alter zusammen - 5 Jahre).

Vielleicht könntest du mir auch noch nen Tipp geben, wie ich in Zukunft meinen Computer besser schützen kann, damit ich euch in nächster Zukunft nicht wieder so viel Arbeit mache?

Grüsse,
Sarah

Zitat:

(ich hab das Protokoll gespeichert, falls du einen Blick drauf werfen willst).

Ja. :daumenhoc

Zitat:

Ist noch was zu tun?

Hat Prevx etwas gefunden?

Dann wäre der noch gut => http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung)

Zitat:

Vielleicht könntest du mir auch noch nen Tipp geben, wie ich in Zukunft meinen Computer besser schützen kann, damit ich euch in nächster Zukunft nicht wieder so viel Arbeit mache?

Klicke auf die letzten beiden Links in meiner Signatur. Da steht eigentlich alles. Das wird auch gerne als brain.exe bezeichnet.

ciao, andreas

Prevx hat nichts gefunden.

Hab Super-Anti-Spyware runtergeladen und werde morgen den Scan machen (muss morgen früh raus und verabschiede mich für heute).

Grüsse und gute Nacht!

Hier das Protokoll von Malwarebytes:

Code:

Malwarebytes' Anti-Malware 1.38

Datenbank Version: 2381

Windows 5.1.2600 Service Pack 2
 

06.07.2009 22:43:28

mbam-log-2009-07-06 (22-43-28).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 221683

Laufzeit: 2 hour(s), 37 minute(s), 56 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 3

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\Qoobox\quarantine\C\WINDOWS\system32\TDSScfbv.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

c:\Qoobox\quarantine\C\WINDOWS\system32\TDSSoity.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

c:\Qoobox\quarantine\C\WINDOWS\system32\TDSSvoql.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.

Hallo,

Hier bin ich wieder.
Am nächsten Tag hatte ich den Scan mit Super-Anti-Spyware gemacht (hat auch 4 Elemente gefunden), aber als ich die Ergebnisse posten wollte, hat mein Wifi nicht mehr funktioniert.

Hab seit dem letzten Mal als ich hier online war alles mögliche versucht, aber mein Wifi ist immer noch kaputt. Kann es sein, dass mir ein Treiber fehlt?
Während der Säuberungsaktion mit Combofix und Co. ist mir ja schonmal passiert, dass plötzlich das Wifi meines Laptops nicht mehr funktioniert hat. Aber am nächsten Tag ging es dann plötzlich wieder. Wenn ich Netzwerke suche, findet der Computer nichts. Und gestern hab ich dann versucht, mich in msn einzuloggen, und das geht seitdem auch nicht mehr. (bei der Problembehandlung bleibt es bei den main ports hängen)

Am Montag hat mein Freund ein externes Modem gekauft, um wieder online gehen zu können. Falls noch irgendetwas zu beseitigen ist, wäre ich für nochmalige Hilfe sehr dankbar. Ich würde wirklich gern meinen Computer vollends sauber bekommen.

Vielen Dank im Vorraus!

Hier der Scan von Super-Anti-Spyware vom 7.7.:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/08/2009 at 02:11 AM

Application Version : 4.26.1006

Core Rules Database Version : 3976
Trace Rules Database Version: 1916

Scan type : Complete Scan
Total Scan Time : 06:22:45

Memory items scanned : 448
Memory threats detected : 0
Registry items scanned : 6058
Registry threats detected : 0
File items scanned : 122554
File threats detected : 4

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Sarah\Cookies\sarah@apmebf[1].txt
C:\Dokumente und Einstellungen\Sarah\Cookies\sarah@msnportal.112.2o7[1].txt

Trojan.Agent/Gen-PEC
C:\SYSTEM VOLUME INFORMATION\_RESTORE{586CC8E9-3CC5-410D-A14C-81EE23D99D0B}\RP1\A0000004.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{586CC8E9-3CC5-410D-A14C-81EE23D99D0B}\RP1\A0000057.EXE

Und hier ein scan mit Hijack This von heute:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:05:03, on 17.09.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe

C:\Programme\Prevx\prevx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Launch Manager\LaunchAp.exe

C:\Programme\Launch Manager\HotkeyApp.exe

C:\Programme\Launch Manager\OSD.exe

C:\Programme\Launch Manager\Wbutton.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe

C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: BTTray.lnk = ?

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - (no file)

O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - (no file)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 

--

End of file - 5683 bytes

Zitat:

Während der Säuberungsaktion mit Combofix und Co. ist mir ja schonmal passiert, dass plötzlich das Wifi meines Laptops nicht mehr funktioniert hat.

Das ist "normal". ComboFix setzt sehr viele Einstellungen, besonders die Netzwerkeinstellungen, auf den Standard zurück. Meist reicht reparieren oder den Treiber neu zu installieren, aber einen bleibenden Schaden habe ich noch nicht erlebt.

Zitat:

Am nächsten Tag hatte ich den Scan mit Super-Anti-Spyware gemacht (hat auch 4 Elemente gefunden), aber als ich die Ergebnisse posten wollte, hat mein Wifi nicht mehr funktioniert.

Das ergibt nun überhaupt keinen Sinn, denn SASW hat 2 Cookies und 2 Dateien in der Systemwiederherstellung gelöscht. Das diese Aktion das bewirkt haben soll, kann ich mir beim besten Willen nicht vorstellen.

Probiere das, was sehr häufig funktioniert. Starte den Gerätemanager:

Start => Ausführen => devmgmt.msc => OK => Suche dort WiFi => Mausklick rechts => Deinstallieren => Neustart

Beim Neustart wird er WiFi neu erkennen und alle benötigten Treiber installieren. Falls das nicht funktioniert bitte nochmal melden.

Zitat:

Ich würde wirklich gern meinen Computer vollends sauber bekommen.

Das war auch meine Absicht, aber du warst es, die sich hier längere Zeit nicht blicken ließ. Jetzt noch nachzuvollziehen, was in der Zwischenzeit passiert ist, ist nicht möglich. Die "Behandlung" ist erst dann abgeschlossen, wenn da steht: Du bist entlassen oder gehst du auch krank aus dem Krankenhaus?

Also beginnen wir von vorne:

1.) Deinstalliere:

SuperAntiSpyware
PrevxCSI
Kaspersky Online Scanner

2.) Poste beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas