Desktop blinkt Warning, Roter Kreis mit weißem Kreuz neben der Uhr.
 

Hallo,

Ich hab mir mit meinem PC was eingefangen, wovon ich nicht weis was es ist. Auf meinem Desktop blinkt WARNING, außerdem geht der Taskmanager nicht mehr und neben der Uhr ist ein weißer Kreis mit rotem Kreuz. Denn Taskmanager hab ich mittlerweile wieder zum laufen gebracht und der Kreis ist verschwunden. Aber ich kann meinen Desktop nicht ändern. So was ähnliches hatte ich schon einmal, hatte es aber mit einer älteren Version von SmitFraudFix wegbekommen. Jetzt hab ich eine neuere Version von dem SmitFraudFix, da es die selben Symptome sind. Aber wenn ich auf die Datei klicke, öffnet sich dieses Dos Fenster (ich meine das, was erscheint wenn man bei ausführen CMD eintippt) nur ganz kurz und schließt sofort wieder.
Mein System:
Windows XP Professional (5.1, Build 2600) Service Pack 2 (2600.xpsp_sp2_gdr.050301-1519)
BIOS: Award Modular BIOS v6.0
Processor: AMD Sempron(TM) 3000+, MMX, 3DNow, ~2.0GHz
Memory: 512MB RAM
Page File: 461MB used, 789MB available
Windows Dir: C:\WINDOWS
DirectX Version: DirectX 9.0c (4.09.0000.0904)
DxDiag Version: 5.03.2600.2180 32bit Unicode
(Hab ich mit dxdiag rausgefunden)

Hab mal ein HijackThis Log-File gemacht:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:55, on 27.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\pdf24\PDFBackend.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Erinnerung\erinnerung.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\SmartSurfer\SmurfService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\KeePass\KeePassPortable\KeePassPortable.exe
C:\Programme\KeePass\KeePassPortable\App\keepass\keepass.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {11CDE538-E284-4C20-B4CA-152092EF4075} - C:\WINDOWS\system32\byXQGWqN.dll (file missing)
O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\system32\LightFrame3IECOM.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {FA8BE6D5-40E0-48B8-B317-18A4A590918A} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Erinnerung.lnk = C:\Programme\Erinnerung\erinnerung.exe
O4 - Startup: WinFlip.lnk = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$EX02.594\WinFlip.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110304845562
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B7F493C-4DCC-47C5-A15D-5C052D5A3E13}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{9936E2A1-9465-457D-971A-B29BC7CEF026}: NameServer = 195.129.111.50 195.129.111.49
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O20 - Winlogon Notify: fccaYrPj - fccaYrPj.dll (file missing)
O20 - Winlogon Notify: khfGxUOf - khfGxUOf.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe (file missing)
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\SmartSurfer\SmurfService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 10319 bytes

Hoffe ihr könnt mir Helfen. Schon einmal danke für alle Antworten

Bitte zuerst die Anleitung für neue User abarbeiten -> http://www.trojaner-board.de/69886-f...icherheit.html

AB Punkt 2 alles abarbeiten, bis auf Hijackthis!

Erst dann wird sich jemand deinem Problem annehmen! :daumenhoc

Ok, werde ich machen

Hab mit Malwarebytes' Anti-Malware alles weg bekommen:snyper: . Das Thema ist somit abgehakt:daumenhoc

Poste trotzdem noch den Report von MBAM...sicher ist sicher. ;)

Ich Poste nachher mal die Vorher und Nacher Version

So jetzt hab ichs

Vorher:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1810
Windows 5.1.2600 Service Pack 2

27.02.2009 21:51:07
mbam-log-2009-02-27 (21-50-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 278509
Laufzeit: 34 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fa8be6d5-40e0-48b8-b317-18a4a590918a} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fa8be6d5-40e0-48b8-b317-18a4a590918a} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{fa8be6d5-40e0-48b8-b317-18a4a590918a} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\ (Trojan.Downloader) -> No action taken.

Nachher:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1810
Windows 5.1.2600 Service Pack 2

27.02.2009 22:40:50
mbam-log-2009-02-27 (22-40-50).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 278431
Laufzeit: 28 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hast du die Einträge auch entfernt?! :confused:

Hab alles entfernen lassen, und nachher nochmal gescannt. Und dabei wurde nichts gefunden. Hab doch alles richtig gemacht, oder?

Japp, dann auf jeden Fall. ;)

Bitte nochmal dieses Programm runterladen und ausführen:


ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Die CCleaner Bereinigung habe ich schon gemacht. Wie lang braucht den ComboFix um durchzulaufen? Also Vorher muss ich mein AntiVir deaktivieren und mein Ad-Aware. Muss ich die Firewall auch abschalten?

CF dauert, jenachdem ob da noch was gefunden wird, ca 3-5Minuten.. ;)
CCleaner brauchst du nicht mehr, nur Antivir deaktivieren und einfach nichts machen am PC.. ;)

Alles klar, melde mich naher nochmal

Hab CF durchlaufen lassen, das stand im Log File:

ComboFix 09-02-27.02 - Administrator 2009-02-27 23:12:28.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.512.237 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\011.exe
C:\autorun.inf
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\videosoft
c:\windows\_INST\_INSTALL.EXE
c:\windows\IE4 Error Log.txt
c:\windows\jestertb.dll
c:\windows\system32\303418.exe
c:\windows\system32\drivers\seneka.sys
c:\windows\system32\drivers\senekawfyrxmpk.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\NqWGQXyb.ini
c:\windows\system32\NqWGQXyb.ini2
c:\windows\system32\senekaaoypxnil.dll
c:\windows\system32\senekaoeyowrqd.dll
c:\windows\system32\senekapop.dll
c:\windows\system32\senekasjfnkcjs.dll
c:\windows\system32\senekataxekxei.dat
c:\windows\system32\senekatjdgkqot.dat
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\uniq.tll
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\winlogon2.exe
c:\windows\system32\WS2Fix.exe
D:\Autorun.inf
D:\resycled

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SENEKA


((((((((((((((((((((((( Dateien erstellt von 2009-01-27 bis 2009-02-27 ))))))))))))))))))))))))))))))
.

2009-02-27 21:06 . 2009-02-27 21:06 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-27 21:06 . 2009-02-27 21:06 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-02-27 21:06 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-27 21:06 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-27 20:51 . 2009-02-27 20:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-27 19:25 . 2009-02-27 19:25 <DIR> d-------- c:\programme\Trend Micro
2009-02-26 18:01 . 2009-02-26 18:01 74,603 --a------ c:\windows\system32\yjgiziyui
2009-02-24 20:48 . 2009-02-24 20:48 <DIR> d-------- c:\programme\Convoi150
2009-02-23 21:10 . 2009-02-23 21:10 <DIR> d-------- c:\programme\DB2002
2009-02-23 21:10 . 2000-06-25 00:10 175,104 --------- c:\windows\DB2002_Uninstall.exe
2009-02-23 21:10 . 2002-05-03 03:00 161,792 --------- c:\windows\DB2002.scr
2009-02-23 21:07 . 2009-02-23 21:07 3,584,000 --a------ c:\windows\Virtuelle Bahnfahrt.scr
2009-02-22 17:16 . 2009-02-22 17:16 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2009-02-22 03:05 . 2009-02-22 03:05 <DIR> d-------- c:\programme\eMule
2009-02-22 02:29 . 2009-02-22 02:29 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.BitTornado
2009-02-21 22:26 . 2009-02-21 22:26 <DIR> d-------- c:\programme\Debugging Tools for Windows
2009-02-21 18:20 . 2009-02-22 17:27 100,590 --a------ c:\windows\system32\drivers\c382789.sys
2009-02-21 18:19 . 2009-02-21 18:19 2 --a------ C:\1110305489
2009-02-21 15:59 . 2009-02-21 15:59 22,328 --a------ c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2009-02-20 22:34 . 2009-02-20 22:34 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\JAM Software
2009-02-20 22:01 . 2009-02-20 22:01 <DIR> d-------- c:\windows\Left 4 Dead
2009-02-20 21:47 . 2009-02-20 21:47 <DIR> d-------- c:\windows\Logs
2009-02-20 21:47 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll
2009-02-20 21:47 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll
2009-02-20 21:47 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll
2009-02-20 21:47 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll
2009-02-20 21:47 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll
2009-02-20 21:47 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll
2009-02-20 21:47 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll
2009-02-20 21:24 . 2009-02-20 21:24 <DIR> d-------- c:\windows\system32\de-DE
2009-02-20 21:21 . 2009-02-20 21:21 <DIR> d-------- c:\programme\MSBuild
2009-02-20 21:18 . 2009-02-20 21:18 <DIR> d-------- c:\windows\system32\XPSViewer
2009-02-20 21:17 . 2009-02-20 21:17 <DIR> d-------- c:\programme\Reference Assemblies
2009-02-20 21:08 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-02-20 14:39 . 2009-02-20 14:39 39 --a------ c:\windows\system32\1235137157.(null)
2009-02-16 17:25 . 2004-03-09 00:00 662,288 --a------ c:\windows\system32\mscomct2.ocx
2009-02-16 17:25 . 2004-03-09 00:00 416,528 --a------ c:\windows\system32\comct332.ocx
2009-02-16 17:25 . 2004-03-09 00:00 212,240 --a------ c:\windows\system32\richtx32.ocx
2009-02-16 17:25 . 2003-02-18 20:11 65,536 --a------ c:\windows\system32\resize32.ocx
2009-02-15 20:18 . 2009-02-15 20:18 <DIR> d-------- c:\programme\Google
2009-02-12 20:50 . 2009-02-12 20:50 <DIR> d-------- c:\dokumente und einstellungen\Administrator\dwhelper
2009-01-27 16:27 . 2009-01-27 16:27 <DIR> d-------- c:\programme\Police-Car
2009-01-27 16:26 . 2009-01-27 16:26 74,752 --a------ c:\windows\temp.001
2009-01-27 15:27 . 2009-01-27 15:27 814 --a------ c:\windows\TVTEmulator.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-27 15:27 253,952 ------w c:\windows\Setup1.exe
2009-01-24 21:44 2,321,408 ----a-w c:\windows\system32\TUKernel.exe
2009-01-15 16:45 --------- d-----w c:\programme\Mafia
2009-01-09 23:35 --------- d-----w c:\programme\RingtoneConverter
2009-01-09 23:17 --------- d-----w c:\programme\Audio Converter
2009-01-08 19:58 --------- d-----w c:\programme\Fast Image Resizer
2009-01-06 01:19 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-28 23:03 --------- d-----w c:\programme\Familiy
2008-04-29 13:40 22 ----a-w c:\dokumente und einstellungen\Administrator\MP3.cmd
2007-10-12 19:21 3,584 ----a-w c:\dokumente und einstellungen\Administrator\netcache.dat
2007-06-07 15:59 28,193 ----a-w c:\dokumente und einstellungen\Administrator\.cxpg63spc.dat
2009-01-08 13:48 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2009-01-08 13:48 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2009-01-08 13:48 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2009-01-08 13:48 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2009-01-08 13:48 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]
"Eraser"="c:\programme\Eraser\eraser.exe" [2006-04-09 634880]
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2006\MemOptimizer.exe" [2005-08-24 295936]
"Vidalia"="c:\programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 12889088]
"PeerGuardian"="c:\programme\PeerGuardian2\pg2.exe" [2005-09-18 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-14 344064]
"zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2003-12-01 892928]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"PDFPrint"="c:\programme\pdf24\PDFBackend.exe" [2008-01-31 134144]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-06 136600]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-03 160768]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 c:\windows\LOGI_MWX.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\Administrator\Startmen�\Programme\Autostart\
Erinnerung.lnk - c:\programme\Erinnerung\erinnerung.exe [2003-10-29 131072]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-09-20 1200128]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2008-04-02 274432]
Privoxy.lnk - c:\programme\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 250368]
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 217194]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll
"VIDC.ZMBV"= zmbv.dll
"wave5"= AvmSnd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-11-16 19:04 139264 c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-14 02:10 409600 c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerTranslator Pro OLR]
--a------ 2004-09-29 09:46 49152 c:\progra~1\BVRPSO~1\POWERT~1\BVRPOlr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
--a------ 2005-03-09 21:21 95960 c:\progra~1\SYMNET~1\SNDMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-09-26 15:49 35328 c:\programme\Winamp 5\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--------- 2003-08-05 06:59 57344 c:\windows\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"rpcapd"=3 (0x3)
"RemoteRegistry"=2 (0x2)
"RDSessMgr"=3 (0x3)
"mnmsrvc"=3 (0x3)
"BITS"=3 (0x3)
"aspnet_state"=3 (0x3)
"ALG"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Auran\\Trainz\\Trainz.exe"=
"c:\\Programme\\Eidos\\Kane and Lynch Dead Men\\kaneandlynch.exe"=
"c:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"c:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Defcon\\DEFCON.EXE"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\Programme\\AN QuickNote\\QuickNote.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=

R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2003-12-12 77312]
R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];c:\windows\system32\drivers\sleen16.sys [2007-10-11 12:24:00 79104]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2008-07-30 277736]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [2008-04-01 59520]
R2 SmartSurferManager;SmartSurfer Manager;c:\programme\SmartSurfer\SmurfService.exe [2007-12-18 132560]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [2008-03-12 37568]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [2008-03-12 484176]
R3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\drivers\LCcfltr.sys [2005-03-09 14092]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\Netfritz.sys [2008-04-02 267776]
S1 c382789;c382789;c:\windows\system32\drivers\c382789.sys [2009-02-21 100590]
S3 adxapie;adxapie;\??\c:\dokume~1\ADMINI~1\LOKALE~1\Temp\adxapie.sys --> c:\dokume~1\ADMINI~1\LOKALE~1\Temp\adxapie.sys [?]
S3 CTL511Plus;Video Blaster WebCam 3/WebCam Plus (WDM);c:\windows\system32\drivers\webc3vid.sys [2008-08-01 166504]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-01-25 42000]
S3 SmartCd;SmartCd;c:\windows\system32\Drivers\SmartCd.sys --> c:\windows\system32\Drivers\SmartCd.sys [?]
S4 cdawdm;CDAWDM;c:\windows\system32\DRIVERS\CDAWDM.sys --> c:\windows\system32\DRIVERS\CDAWDM.sys [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PGFILTER
*Deregistered* - BootScreen
*Deregistered* - mchInjDrv

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db821534-89c0-11da-a557-96d0069fe19d}]
\Shell\AutoRun\command - H:\autorun.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners

2008-05-16 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{11CDE538-E284-4C20-B4CA-152092EF4075} - (no file)
Notify-fccaYrPj - fccaYrPj.dll
Notify-khfGxUOf - khfGxUOf.dll
MSConfigStartUp-Acronis Scheduler2 Service - c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
MSConfigStartUp-Acronis True Image Monitor - c:\programme\Acronis\TrueImage\TrueImageMonitor.exe
MSConfigStartUp-BitTorrent - c:\programme\BitTorrent\bittorrent.exe
MSConfigStartUp-NeroFilterCheck - c:\windows\system32\NeroCheck.exe
MSConfigStartUp-RGSC - c:\programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe
MSConfigStartUp-SIDEBAR - c:\programme\Desktop Sidebar\dsidebar.exe
MSConfigStartUp-VirtualDrive - c:\programme\FarStone\GameDrive\vdtask.exe
MSConfigStartUp-WallpaperQ - c:\programme\WallpaperQ\WallpaperQ.exe
MSConfigStartUp-Framework Windows - frmwrk32.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.windowsxlive.net
uInternet Connection Wizard,ShellNext = iexplore
IE: Add to AMV Convert Tool... - c:\programme\MP3 Player Utilities 3.75\AMVConverter\grab.html
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 3.75\MediaManager\grab.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: {5B7F493C-4DCC-47C5-A15D-5C052D5A3E13} = 192.168.120.252,192.168.120.253
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xhs903xt.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.surf-2-go.de/tarife.html
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1500000
FF - user.js: content.notify.interval - 750000
FF - user.js: nglayout.initialpaint.delay - 100
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-27 23:16:53
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\drivers\senekawfyrxmpk.sys 98304 bytes
c:\windows\system32\drivers\senekaxylktxsn.sys 98304 bytes
c:\windows\system32\drivers\seneka.sys 0 bytes
c:\windows\system32\senekapop.dll 0 bytes
c:\windows\system32\senekauagounls.dll 65536 bytes
c:\windows\system32\senekatjdgkqot.dat 32768 bytes
c:\windows\system32\senekaoeyowrqd.dll 65536 bytes
c:\windows\system32\senekataxekxei.dat 65536 bytes
c:\windows\system32\senekasjfnkcjs.dll 32768 bytes
c:\windows\system32\senekaaoypxnil.dll 32768 bytes
c:\dokume~1\ADMINI~1\LOKALE~1\Temp\seneka000 0 bytes
c:\dokume~1\ADMINI~1\LOKALE~1\Temp\flashgot.xhs903xt.default\ .
0 bytes
c:\dokume~1\ADMINI~1\LOKALE~1\Temp\flashgot.xhs903xt.default\

Da ist/war eine ganze Menge noch im System!
Besser gesagt...auf deinem System ist noch einiges drauf was mir Kopfzerbrechen bereitet... :(

Bitte überpüfe noch folgendes:



Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Reicht es wenn ich die Informationen auf der ersten Seite kopiere oder muss ich auf Permalink klicken und diese Daten kopieren?

C:\1110305489

File size: 2 bytes
MD5...: 444bcb3a3fcf8389296c49467f27e1d6
SHA1..: 7a85f4764bbd6daf1c3545efbbf0f279a6dc0beb
SHA256: 2689367b205c16ce32ed4200942b8b8b1e262dfc70d9bc9fbc77c49699a4f1df SHA512: 9fbbbb5a0f329f9782e2356fa41d89cf9b3694327c1a934d6af2a9df2d7f936c
e83717fb513196a4ce5548471708cd7134c2ae99b3c357bcabb2eafc7b9b7570
ssdeep: 3:V:V
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=444bcb3a3fcf8389296c49467f27e1d6

c:\windows\system32\yjgiziyui

File size: 74603 bytes
MD5...: 2fae23383ab70d44bd6803de295929e9
SHA1..: 313f6fad82720dbd703730fce39396b114bf782f
SHA256: d8eec64a45a18029564e12d20c0b3852efc3575dd3782dee28a3a17a3cd559c3 SHA512: 5596aea4a9b3d14adb1ddd3df4ac37eb428feec0f725a769afb6358dcc08e46a
04a7b17d5e36db80e58ca177fb53b0ee1423796be4aca4a41a07017ca0390b84
ssdeep: 384:TPbjAF5bINz+IMy5B9ZyCoRAl+6w1r4pVUIqvnVTPLOmPJm68dYdd2OEs4lJ
t83:TPPwRAl+1LxX4lJt83
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

c:\windows\DB2002.scr

File size: 161792 bytes MD5...: 4d05266315f2f5c5b5b0bd94d7b44c52
SHA1..: 71e3e90732710f53c4ea3359e8031cc0a504c444 SHA256: bc2470930ff45bab57a4bb57eea95aed25af178b42f3ebc87bfc503e5454473c
SHA512: 28414fe62f2606946c6e737f0ae51be98b91cf7b959147abadcadd45a90d0c44
aac051a3735457962d404c534f9edf266b948440575e5383cb367a5790c37dc3
ssdeep: 1536:shiw6JuTb69c+8Rd0kPu8OtzbOE5O67vjdb9vrHWQyS3TZuOuuSg91bb:sh
iw8U0kG8ob55O67ZbdHWdGU4SgPbb
PEiD..: InstallShield 2000
TrID..: File type identification
Win32 Executable MS Visual C++ 4.x (53.7%)
InstallShield setup (17.1%)
Win32 Executable MS Visual C++ (generic) (15.0%)
Windows Screen Saver (5.2%)
Win32 Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xcef0
timedatestamp.....: 0x3cd19a5b (Thu May 02 19:58:19 2002)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x146e2 0x14800 6.45 a47a8d7dc1d6484a7a118500823f23f8
.rdata 0x16000 0xc05 0xe00 4.50 175f6bf5d391e980ba681b877c9ce4b7
.data 0x17000 0x5d14 0x3e00 2.29 eb2652cbd87d1a76dd36d456753b8143
.idata 0x1d000 0x1052 0x1200 5.15 a6cadd76c97a405ba86a4c6f313f22ef
.rsrc 0x1f000 0xcca0 0xce00 2.67 ed45c2c5063e1ba7a9d9e3d07cb6a707

( 5 imports )
> KERNEL32.dll: GlobalReAlloc, LoadLibraryA, LocalAlloc, GetProcAddress, GetWindowsDirectoryA, GetTickCount, LockResource, FreeLibrary, EnterCriticalSection, LeaveCriticalSection, ReleaseMutex, WaitForSingleObject, CloseHandle, CreateMutexA, InitializeCriticalSection, FindResourceA, LoadResource, _lwrite, _llseek, _lread, GlobalAlloc, LocalFree, OpenFile, GlobalFree, GlobalLock, _lclose, TerminateProcess, HeapDestroy, HeapCreate, GetLocaleInfoW, GetLocaleInfoA, ReadFile, SetEndOfFile, LCMapStringW, LCMapStringA, GetStringTypeW, GetStringTypeA, SetFilePointer, CreateFileA, FlushFileBuffers, SetStdHandle, InterlockedIncrement, InterlockedDecrement, VirtualFree, WriteFile, GetStdHandle, SetHandleCount, GlobalUnlock, WideCharToMultiByte, UnhandledExceptionFilter, GetVersionExA, Sleep, GetModuleHandleA, ExitProcess, GetStartupInfoA, GetCommandLineA, HeapFree, HeapAlloc, GetLastError, ResumeThread, CreateThread, TlsSetValue, ExitThread, GetVersion, RtlUnwind, GetFileType, GetEnvironmentStringsW, GetEnvironmentStrings, DeleteCriticalSection, VirtualAlloc, GetCurrentThreadId, TlsAlloc, SetLastError, TlsGetValue, FreeEnvironmentStringsW, GetCurrentProcess, GetCPInfo, GetACP, GetOEMCP, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar
> USER32.dll: GetClientRect, ShowWindow, ReleaseDC, KillTimer, SetTimer, DestroyWindow, SetScrollPos, SetScrollRange, SetDlgItemInt, WinHelpA, MessageBoxA, GetScrollPos, IsDlgButtonChecked, SendDlgItemMessageA, GetDlgItemInt, EnableWindow, GetDlgItem, LoadStringA, EndDialog, SetWindowTextA, LoadBitmapA, GetDC, DialogBoxParamA, GetDlgItemTextA, SetDlgItemTextA, MessageBeep, SendMessageA, SetFocus, ScrollDC, GetMessageA, DispatchMessageA, GetForegroundWindow, SystemParametersInfoA, DefWindowProcA, GetCursorPos, PostMessageA, SetCursor, IsWindow, GetParent, PostQuitMessage, FindWindowA, RegisterClassA, TranslateMessage, SetForegroundWindow, CreateWindowExA, CharNextA, FillRect, GetSystemMetrics, LoadIconA, PeekMessageA
> GDI32.dll: CreatePalette, SelectObject, GetObjectA, CreateCompatibleDC, SetDIBitsToDevice, PatBlt, RealizePalette, SelectPalette, GetPaletteEntries, GetStockObject, GetDeviceCaps, DeleteObject, CreateCompatibleBitmap, TextOutA, SetBkMode, SetTextAlign, SetTextColor, SetBkColor, CreateFontA, LineTo, MoveToEx, BitBlt, DeleteDC, CreatePen
> comdlg32.dll: GetOpenFileNameA
> ADVAPI32.dll: RegOpenKeyExA, RegSetValueExA, RegCreateKeyExA, RegCloseKey, RegQueryValueExA, RegOpenKeyA

( 0 exports )

c:\windows\system32\drivers\c382789.sys

File size: 100590 bytes
MD5...: 0b8ab110f748e4426bba7b8d194f8fb5
SHA1..: c2b4b8ec1e1009264e941787b338a953fce8db75
SHA256: 5782e1947c0fe8cd62865dd5e4797304493d549683beda4ac52a3124cb07a642
SHA512: b113a06392ba1718b5d9e5577efb26a3a0637c4843ac449b1df152a8f445fecd
a13ee6fb1586c3428ed7fe01ba64a7df095978d58179c97ac3abc872b05417e8
ssdeep: 192:5xGk4cQ59Gk4cEW5uxNk4PQ8KNk4PEW8JxRk4zQAuRk4zEWAlxbk4pQCYbk4
pEWC:v
PEiD..: -
TrID..: File type identification
Lumena CEL bitmap (60.5%)
Corel Photo Paint (39.4%)
PEInfo: -

c:\windows\system32\1235137157.(null)

File size: 39 bytes
MD5...: 2aeb4c2330ca10bb6054d110cb5eb778
SHA1..: 0500f78070a0a0e6fe6487b045c5b9072255884b
SHA256: 82605de5e8735af5d5744ccf26a734212b41b8c471b2980ee426de99c38e0e35
SHA512: 65309209f6f270e0b61f623235dd222b9c866324ac2354bc39bc11def86fc2bc
22fbf9815a8b9d611cea4fc5177173b3b26e60483749e2c9e8457913aba60b70
ssdeep: 3:ALnpLcN6vEMlv:ALpSsE6
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

c:\windows\temp.001

File size: 74752 bytes
MD5...: b0b0f0f408c6f21bcd5ab05caed28ca2
SHA1..: f95f2b0c310d0e61d03514231a580d10516fdd99
SHA256: 1e78d9f21e513f77618d5573d84d1b8480fc267a5071f6b4bffff6f61d4b0ec5
SHA512: 0939e240672048bff661534cab925cde720d6ccd93de9490bb82280365e9b9ad
3d4bbcbd9838492e27978d02d69949ef4b36d39bcf08116db6f4c86c76069055
ssdeep: 1536:iGTJG3gY1xqNUi8tUUoC2RjJ/j8a6tgy7P5iui:p9Sx8UHUUoCcj5ktgGP5
iui
PEiD..: InstallShield 2000
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8050
timedatestamp.....: 0x36fb7fee (Fri Mar 26 12:39:10 1999)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xa985 0xaa00 6.37 7994fe066c159ac6c56898a5a789e7d2
.rdata 0xc000 0x1a52 0x1c00 5.17 85b026904f73d9e9db99e41738e2da59
.data 0xe000 0x4678 0x2e00 1.73 81a2fc7c611e1401759f683fe400daaf
.rsrc 0x13000 0x3000 0x2c00 3.88 e0bfd98ea87342baa6f1f63985d7b456

( 7 imports )
> KERNEL32.dll: CreateFileA, ReadFile, LocalFree, SetFilePointer, LocalAlloc, GlobalDeleteAtom, Sleep, GlobalAddAtomA, GlobalFree, GlobalAlloc, IsDBCSLeadByte, GlobalLock, GlobalFindAtomA, CompareStringA, WideCharToMultiByte, WriteFile, CloseHandle, GetWindowsDirectoryA, OpenProcess, GetVersion, FreeLibrary, RemoveDirectoryA, GetLastError, DeleteFileA, FindFirstFileA, FindClose, lstrlenA, lstrcpyA, lstrcatA, lstrcmpA, lstrcpynA, MultiByteToWideChar, CreateProcessA, WaitForSingleObject, SetErrorMode, GetCurrentDirectoryA, OutputDebugStringA, LoadLibraryA, GetProcAddress, GetFileAttributesA, GlobalUnlock, VirtualAlloc, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, IsBadCodePtr, FreeEnvironmentStringsW, FreeEnvironmentStringsA, lstrcmpiA, GetModuleFileNameA, UnhandledExceptionFilter, GetOEMCP, GetACP, GetCPInfo, HeapAlloc, HeapFree, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, GetCurrentProcess, TerminateProcess, ExitProcess, SetCurrentDirectoryA, SetEnvironmentVariableA, RtlUnwind, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
> USER32.dll: PackDDElParam, SendMessageA, DispatchMessageA, DefWindowProcA, CharNextA, DestroyWindow, UnregisterClassA, CreateWindowExA, RegisterClassA, wsprintfA, UnpackDDElParam, LoadStringA, LoadIconA, LoadCursorA, MessageBoxA, wvsprintfA, TranslateMessage, GetMessageA, SetCursor, ShowCursor, SetDlgItemTextA, SetWindowLongA, EndDialog, GetDlgItem, SetFocus, DialogBoxParamA, UpdateWindow, SetWindowTextA, InvalidateRect, CharUpperA, CharPrevA, BeginPaint, GetClientRect, DrawTextA, SetRect, EndPaint, PostQuitMessage, GetSystemMenu, EnableMenuItem, CreateDialogParamA, GetWindowRect, GetSystemMetrics, SetWindowPos, ShowWindow, PostMessageA, PeekMessageA, FillRect, SetClassLongA
> GDI32.dll: CreateSolidBrush, SetROP2, Rectangle, SelectObject, SetTextColor, SetBkMode, GetStockObject, GetTextMetricsA, ExtTextOutA, CreateFontIndirectA, DeleteObject
> ADVAPI32.dll: RegOpenKeyA, RegEnumValueA, RegEnumKeyA, RegDeleteKeyA, RegCloseKey, RegDeleteValueA, RegQueryValueExA, RegSetValueExA, RegCreateKeyA
> SHELL32.dll: SHGetMalloc, SHGetSpecialFolderLocation, SHGetPathFromIDListA
> ole32.dll: OleInitialize, OleUninitialize
> OLEAUT32.dll: -

( 0 exports )

c:\windows\system32\drivers\senekawfyrxmpk.sys

Ist nicht mehr auf dem System


Hoffe mal das ist richtig so. :)

Huhu.

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.


GMER - Rootkit Detection

• Lade Gmer von hier
• entpacke es auf den Dektop
• Dopperlklicke die gmer.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SuperAntispyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

So hab ich gemach.

Navilog1:
Search Navipromo version 3.7.5 began on 28.02.2009 at 15:56:44,75

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 26.02.2009 at 18h00 by IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(TM) 3000+ )
BIOS : Award Modular BIOS v6.0
USER : Administrator ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)


A:\ (USB)
C:\ (Local Disk) - FAT32 - Total:232 Go (Free:73 Go)
D:\ (Local Disk) - NTFS - Total:74 Go (Free:3 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)
J:\ (CD or DVD)
K:\ (CD or DVD)
L:\ (CD or DVD)


Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Administrator\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Administrator\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 28.02.2009 at 15:58:49,93 ***

Und das ist von gmer:

---- Modules - GMER 1.0.14 ----

Module _________ F82A2000-F82BA000 (98304 bytes)
Module \systemroot\system32\drivers\senekaxylktxsn.sys (*** hidden *** ) AAE20000-AAE47000 (159744 bytes)

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\senekaxylktxsn.sys (*** hidden *** ) [SYSTEM] seneka <-- ROOTKIT !!!
Service %fystemroot%\system32\svchost.exe (*** hidden *** ) [DISABLED] wuauserv <-- ROOTKIT !!!

Das ist nicht das komplette log. Guck bitte nochmal in der Anleitung unten nach wie man das komplette log postet.

Du kannst aber schonmal folgendes machen:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop

• Starte das Programm durch einen Doppelklick auf das Avenger Symbol: http://virus-protect.org/artikel/bilder/avneu2.png
  .
  http://saved.im/otq4mdy1ehrl/avenger.png

• Setze den Haken bei "Automatically disable any rootkits found"
• Kopiere nun folgenden Text in das weiße Feld bei -> "Input script here"

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Forum.

Hi,

Die Datei:
C:\WINDOWS\system32\drivers\senekaxylktxsn.sys
finde ich nicht auf meinem System, obwohl versteckte Dateien angezeigt werden. Das gmer Log ist irgendwie zu groß zum Hochladen und hat zu viele Zeichen zum Posten.

Das mit Avenger war leider keine sehr gute Idee, hab alles so gemacht wie gesagt. Dann beim Neustart kamm die Datenträ:mad:gerüberprüfung und der PC ist bei ungf. 56% abgeschmiert und hatt Neu gestartet. Mit der Funktion "Als letzte Funktionierende Einstellung" oder so ist er dann wieder Hochgefahren.:schmoll:

Versuch mal folgendes:

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Zusätzlich wäre es super wenn du uns folgendes zur Verfügung stellen kannst:

start->ausführen->cmd->set > %temp%\set.txt && notepad %temp%\set.txt eingeben und den Inhalt des notepad fensters posten.

Die Dateien:

C:\1110305489
c:\windows\system32\yjgiziyui
c:\windows\DB2002.scr
c:\windows\system32\drivers\c382789.sys
c:\windows\system32\1235137157.(null)

finde ich auf meinem System, wobei DB2002.scr ein sauberer Screensaver ist. Die anderen Dateien finde ich gar nicht(oder könne die sich so unsichtbar machen, dass man sie komplett nicht mehr findet?). Ich wollt das nur mal sagen, nicht das ich mir wieder irgendetwas zerschiesse.

@ undoreal

C:\Dokumente und Einstellungen\Administrator>%temp%\set.txt && notepad %temp%\se
t.txt
Der Befehl "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\set.txt" ist entweder falsch geschrieben oder konnte nicht gefunden werden.

Das ist dabei rausgekommen.

Hi,

da gabs wohl verwirrung beim kopieren. Bitte folgenden befehl abkopieren (der sollte imho gehen. :D)

set > %temp%\set.txt && notepad %temp%\set.txt

lg myrtille

jop, daher versuchen wir ja ihnen mit Avenger bzw. CF auf den Leib zu rücken.
Allerdings muss ich dir ganz ehrlich sagen, dass ich wenn's meineRechner wäre neuaufsetzen würde. Der Schädling hat sich schon arg tief bei dir eingegraben...

Ahhhh. danke jetzt funzt es:)

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=PC
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Administrator
LANG=de
LOGONSERVER=\\PC
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\Gemeinsame Dateien\GIS\Tools;C:\Programme\Gemeinsame Dateien\GTK\2.0\bin
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0a00
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
USERDOMAIN=PC
USERNAME=Administrator
USERPROFILE=C:\Dokumente und Einstellungen\Administrator
windir=C:\WINDOWS