Trojaner-Board - Kein Zugang auf AV-Seiten, hidden driver im GMER-Log

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Kein Zugang auf AV-Seiten, hidden driver im GMER-Log (https://www.trojaner-board.de/70817-kein-zugang-av-seiten-hidden-driver-gmer-log.html)

Kein Zugang auf AV-Seiten, hidden driver im GMER-Log

Hallo liebes Trojaner-Board,

habe hier am Rechner das Problem dass ich nicht auf AV-Seiten wie von Avira, MBAM u.ä. komme. HJT konnte ich downloaden und starten, ebenfalls GMER, bei GMER wurde ebenfalls was gefunden.

Anbei die beiden Logs:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:12:11, on 09.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Prevx\prevx.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\qttask.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Windows Live\Messenger\MsnMsgr.Exe

C:\Programme\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\EasyCall\Programm\EasyCallT.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe

C:\Programme\EasyCall\Programm\ComServ.exe

C:\Programme\INTERCAFE\Intercafe.exe

C:\WINDOWS\system32\iServerAsync.exe

C:\Programme\INTERCAFE\PagePoller.exe

C:\Programme\INTERCAFE\MemberDataManager.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YPKDP8YX\HiJackThis[1].exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\RunOnce: [UpdExe] "C:\Programme\EasyCall\Programm\UpdExe.exe" runStartUp

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: EasyCallT.lnk = C:\Programme\EasyCall\Programm\EasyCallT.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{462F83E6-E262-4D1E-B9C4-49346E30C2B0}: NameServer = 192.168.2.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O24 - Desktop Component 0: (no name) - http://74.125.43.113/images/comment.gif

O24 - Desktop Component 1: (no name) - http://***.wuestenfuchs.com/pic/spacer.gif

O24 - Desktop Component 2: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg
 

--

End of file - 6502 bytes

GMER:

Code:

http://www.loaditup.de/334511.html

Würde mich über Antworten freuen.

MfG dborys

Hallöle.

Wir bräuchten das komplette gmer log:

GMER - Rootkit Detection

Lade Gmer von hier
entpacke es auf den Dektop
Doppelklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:

savupywp
 

Registry keys to delete:

HKLM\SYSTEM\ControlSet003\Services\savupywp
 

Files to delete:

C:\WINDOWS\system32\fmizeoo.dll

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas

Wird gemacht sobald ich wieder an den Rechner dran komme, da es nicht mein Privatrechner ist sondern eines Kollegen, der nicht sehr viel damit anfangen kann. Und ich kann auch nur was damit anfangen weil ich hier täglich mitlese :party:.

Werde dann das Script ausführen, dann ein neues GMER-Log machen, danach HJT und MBAM welches sich dann wahrscheinlich runterladen lässt.

Werde versuchen die Logs schnellstmöglich zu liefern.

Gute N8,

dborys

So, da bin ich wieder , und hab ein Paar Logs dabei:

Avenger:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Driver "savupywp" deleted successfully.

Registry key "HKLM\SYSTEM\ControlSet003\Services\savupywp" deleted successfully.

File "C:\WINDOWS\system32\fmizeoo.dll" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

HJT:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:24:59, on 10.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\NOTEPAD.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\qttask.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Windows Live\Messenger\MsnMsgr.Exe

C:\Programme\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\EasyCall\Programm\EasyCallT.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\EasyCall\Programm\ComServ.exe

C:\Programme\INTERCAFE\Intercafe.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\iServerAsync.exe

C:\Programme\INTERCAFE\PagePoller.exe

C:\Programme\INTERCAFE\MemberDataManager.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Dokumente und Einstellungen\Administrator\Desktop\AVP\khxov35i.exe

C:\Dokumente und Einstellungen\Administrator\Desktop\AVP\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\RunOnce: [UpdExe] "C:\Programme\EasyCall\Programm\UpdExe.exe" runStartUp

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: EasyCallT.lnk = C:\Programme\EasyCall\Programm\EasyCallT.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{462F83E6-E262-4D1E-B9C4-49346E30C2B0}: NameServer = 192.168.2.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O24 - Desktop Component 0: (no name) - http://74.125.43.113/images/comment.gif

O24 - Desktop Component 1: (no name) - http://www.wuestenfuchs.com/pic/spacer.gif

O24 - Desktop Component 2: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg
 

--

End of file - 6548 bytes

Java werde ich gleich updaten :)

Neues GMER-Log:

Code:

http://www.loaditup.de/334824.html

MBAM:

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1831

Windows 5.1.2600 Service Pack 3
 

10.03.2009 13:22:10

mbam-log-2009-03-10 (13-22-10).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 118324

Laufzeit: 43 minute(s), 13 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

So, denke wir sind doch ganz gut vorangekommen.

Danke :daumenhoc

Warte auf weitere Anweisungen.

MfG dborys

Das kann doch nicht das ganze gmer log sein...

Du musst nach dem Scan auf den "Copy" Button drücken und dann hier im forum einfügen was kopiert wurde...

CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

Zum GMER-log: Hatte ich glaub ich so gemacht, nur halt in ein *txt.- file und nicht in das Forum.

So, neuen Scan mit GMER gemacht, leider ist der rootkit wieder da, diesmal unter einem anderen Driver-Namen...

Code:

GMER 1.0.15.14878 - http://www.gmer.net

Rootkit scan 2009-03-16 13:46:16

Windows 5.1.2600 Service Pack 3
 
 

---- System - GMER 1.0.15 ----
 

INT 0x62  ?                                                                                                      8716DBF8

INT 0x63  ?                                                                                                      86FA2BF8

INT 0x73  ?                                                                                                      86FA2BF8

INT 0x73  ?                                                                                                      86FA2BF8

INT 0x82  ?                                                                                                      8716DBF8

INT 0x83  ?                                                                                                      86FA2BF8

INT 0xB4  ?                                                                                                      86FA2BF8
 

---- Kernel code sections - GMER 1.0.15 ----
 

?         spkh.sys                                                                                               Das System kann die angegebene Datei nicht finden. !

.text     USBPORT.SYS!DllUnload                                                                                  F6EF98AC 5 Bytes  JMP 86FA21D8 

.text     apycmhzh.SYS                                                                                           F6E73386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]

.text     apycmhzh.SYS                                                                                           F6E733AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]

.text     apycmhzh.SYS                                                                                           F6E733C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}

.text     apycmhzh.SYS                                                                                           F6E733C9 1 Byte  [2E]

.text     apycmhzh.SYS                                                                                           F6E733CB 9 Bytes  [00, 00, 5A, 02, 00, 00, 00, ...] {ADD [EAX], AL; POP EDX; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}

.text     ...                                                                                                    
 

---- User code sections - GMER 1.0.15 ----
 

.text     C:\WINDOWS\System32\svchost.exe[976] ntdll.dll!NtQueryInformationProcess                               7C91D7E0 5 Bytes  JMP 01B9ADCD 

.text     C:\WINDOWS\System32\svchost.exe[976] NETAPI32.dll!NetpwPathCanonicalize                                597DA3A9 5 Bytes  JMP 01B9AD64 

.text     C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[1000] kernel32.dll!SetUnhandledExceptionFilter         7C8449FD 5 Bytes  JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

.text     C:\WINDOWS\system32\svchost.exe[1016] ntdll.dll!NtQueryInformationProcess                              7C91D7E0 5 Bytes  JMP 007AADCD 

.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!DialogBoxParamW                           7E3747AB 5 Bytes  JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!DialogBoxIndirectParamW                   7E382072 5 Bytes  JMP 4467179F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!MessageBoxIndirectA                       7E38A082 5 Bytes  JMP 44671720 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!DialogBoxParamA                           7E38B144 5 Bytes  JMP 44671764 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!MessageBoxExW                             7E3A0838 5 Bytes  JMP 446716AC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!MessageBoxExA                             7E3A085C 5 Bytes  JMP 446716E6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!DialogBoxIndirectParamA                   7E3A6D7D 5 Bytes  JMP 446717DA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text     C:\Programme\Internet Explorer\iexplore.exe[3804] USER32.dll!MessageBoxIndirectW                       7E3B64D5 5 Bytes  JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
 

---- Kernel IAT/EAT - GMER 1.0.15 ----
 

IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                     [F72DC040] spkh.sys

IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                             [F72DC13C] spkh.sys

IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                    [F72DC0BE] spkh.sys

IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                            [F72DC7FC] spkh.sys

IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                    [F72DC6D2] spkh.sys

IAT       \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                     [F72EC048] spkh.sys

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KfAcquireSpinLock]                                   C0840CEC

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!READ_PORT_UCHAR]                                     053C0D74

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KeGetCurrentIrql]                                    57B80974

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KfRaiseIrql]                                         8B000000

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KfLowerIrql]                                         56C35DE5

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!HalGetInterruptVector]                               8D08758B

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!HalTranslateBusAddress]                              8D51FC4D

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KeStallExecutionProcessor]                           8D52FD55

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!KfReleaseSpinLock]                                   8D51FE4D

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                             8D52FF55

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!READ_PORT_USHORT]                                    8D51F84D

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                            5052F455

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[HAL.dll!WRITE_PORT_UCHAR]                                    EACAE856

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[WMILIB.SYS!WmiSystemControl]                                 0FC08520

IAT       \SystemRoot\System32\Drivers\apycmhzh.SYS[WMILIB.SYS!WmiCompleteRequest]                               0001B185
 

---- Devices - GMER 1.0.15 ----
 

Device    \FileSystem\Ntfs \Ntfs                                                                                 8716C1F8

Device    \Driver\usbuhci \Device\USBPDO-0                                                                       86FA11F8

Device    \Driver\dmio \Device\DmControl\DmIoDaemon                                                              871DB1F8

Device    \Driver\dmio \Device\DmControl\DmConfig                                                                871DB1F8

Device    \Driver\dmio \Device\DmControl\DmPnP                                                                   871DB1F8

Device    \Driver\dmio \Device\DmControl\DmInfo                                                                  871DB1F8

Device    \Driver\usbuhci \Device\USBPDO-1                                                                       86FA11F8

Device    \Driver\usbuhci \Device\USBPDO-2                                                                       86FA11F8

Device    \Driver\usbuhci \Device\USBPDO-3                                                                       86FA11F8

Device    \Driver\usbehci \Device\USBPDO-4                                                                       86F741F8

Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                 8716E1F8

Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                 8716E1F8

Device    \Driver\Cdrom \Device\CdRom0                                                                           86F601F8

Device    \Driver\Cdrom \Device\CdRom1                                                                           86F601F8

Device    \Driver\Cdrom \Device\CdRom2                                                                           86F601F8

Device    \Driver\NetBT \Device\NetBT_Tcpip_{462F83E6-E262-4D1E-B9C4-49346E30C2B0}                               86D75500

Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                86D75500

Device    \Driver\PCI_PNP2248 \Device\0000003f                                                                   spkh.sys

Device    \Driver\PCI_PNP2248 \Device\0000003f                                                                   spkh.sys

Device    \Driver\NetBT \Device\NetbiosSmb                                                                       86D75500

Device    \Driver\usbuhci \Device\USBFDO-0                                                                       86FA11F8

Device    \Driver\usbuhci \Device\USBFDO-1                                                                       86FA11F8

Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                      86EC3500

Device    \Driver\usbuhci \Device\USBFDO-2                                                                       86FA11F8

Device    \Driver\sptd \Device\3015195998                                                                        spkh.sys

Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                            86EC3500

Device    \Driver\usbuhci \Device\USBFDO-3                                                                       86FA11F8

Device    \Driver\usbehci \Device\USBFDO-4                                                                       86F741F8

Device    \Driver\Ftdisk \Device\FtControl                                                                       8716E1F8

Device    \Driver\apycmhzh \Device\Scsi\apycmhzh1                                                                86F5F500

Device    \Driver\apycmhzh \Device\Scsi\apycmhzh1Port2Path0Target0Lun0                                           86F5F500

Device    \FileSystem\Cdfs \Cdfs                                                                                 86F67500
 

---- Services - GMER 1.0.15 ----
 

Service   C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                      [AUTO] bymwmi                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@DisplayName                                              Security Image

Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@Type                                                     32

Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@Start                                                    2

Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@ErrorControl                                             0

Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@ImagePath                                                %SystemRoot%\system32\svchost.exe -k netsvcs

Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@ObjectName                                               LocalSystem

Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi@Description                                              F?hrt Systemwiederherstellungsfunktionen durch. Deaktivieren Sie "Systemwiederherstellung" auf der Systemwiederherstellungsregisterkarte in Arbeitsplatz->Eigenschaften, um den Dienst zu beenden.

Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi\Parameters                                               

Reg       HKLM\SYSTEM\CurrentControlSet\Services\bymwmi\Parameters@ServiceDll                                    C:\WINDOWS\system32\fmizeoo.dll

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                       

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                    C:\Programme\DAEMON Tools Lite\

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                    0

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                 0xE9 0x33 0xCE 0x7F ...

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001              

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0           0x20 0x01 0x00 0x00 ...

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh        0x30 0x7A 0x2F 0x7E ...

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40        

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh  0xDB 0xDF 0x25 0x3C ...

Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@DisplayName                                                  Security Image

Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@Type                                                         32

Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@Start                                                        2

Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@ErrorControl                                                 0

Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@ImagePath                                                    %SystemRoot%\system32\svchost.exe -k netsvcs

Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@ObjectName                                                   LocalSystem

Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi@Description                                                  F?hrt Systemwiederherstellungsfunktionen durch. Deaktivieren Sie "Systemwiederherstellung" auf der Systemwiederherstellungsregisterkarte in Arbeitsplatz->Eigenschaften, um den Dienst zu beenden.

Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi\Parameters                                                   

Reg       HKLM\SYSTEM\ControlSet003\Services\bymwmi\Parameters@ServiceDll                                        C:\WINDOWS\system32\fmizeoo.dll

Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           

Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        C:\Programme\DAEMON Tools Lite\

Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0

Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0xE9 0x33 0xCE 0x7F ...

Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  

Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...

Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0x30 0x7A 0x2F 0x7E ...

Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            

Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0xDB 0xDF 0x25 0x3C ...

Reg       HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                                  

Reg       HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION                 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
 

---- EOF - GMER 1.0.15 ----

Eine Frage zu CureIT: Kann ich den Scan auch im Normal-bootmode machen, ggf. mit getrenntem Internet?

Gruß dborys

Halli hallo.

Der CureIT Scan sollte nach Möglichkeit schon im Abgesicherten Modus erfolgen.
Warum fragst du? Macht der Abgesicherte Probleme?

Lasse bitte zu erst CureIT laufen bevor du den folgenden Anweisungen folgst.

fileASSASSIN und regASSASSIN

Downloade dir fileASSASSIN von Malwarebytest.org: http://www.malwarebytes.org/fa-setup.exe
Installiere das Programm.
Sollte es dabei zu Fehlermeldungen kommen könnte das am Schädling liegen. In diesem Fall downloade dir die Portable Version direkt auf einen USB-Stick:
http://www.malwarebytes.org/FA_Portable.zip
Entpacke das Archiv dort. Ein Doppelklick auf die fileASSASSIN.exe starte die PortableVersion.

Downloade dir RegASSASIN und speichere es auf dem Desktop

Starte den Rechner im abesicherten Modus. So wird der abgesicherte Modus am einfachsten aufgerufen: KLICK mich

Starte fileASSASSIN und setze den Haken bei "Delete File". Alle anderen Haken lässt du wie sie sind.

http://www9.picfront.org/picture/FlC...ileASSASIN.jpg

Dann kopierst du bitte folgenden Dateipfad per Copy&Paste in das Textfeld. Starte den Löschvorgang durch Drücken des "Execute"-Buttons.

Zitat:

C:\WINDOWS\system32\fmizeoo.dll

Evtl. Fehlermeldungen schreibe dir bitte ab und poste sie im Anschluss. Poste ob die Dateie erfolgreich gelöscht wurde.

Registrierungsschlüssel löschen

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. ;)

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die regedit Import-Funktion wiederherstellen.

Starte RegASSASSIN durch einen Doppelklick auf die RegASSASSIN.exe.

Kopiere nacheinander folgende Schlüssel in die Textbox und drücke den delete Button.

Code:

HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 

HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

HKLM\SYSTEM\CurrentControlSet\Services\bymwmi

HKLM\SYSTEM\ControlSet003\Services\bymwmi

Öffne dann über Start -> ausführen -> cmd eintippen und ENTER drücken, die Befehlskonsole.
Dort gebe folgende Befehle ein und bestätige sie mit ENTER:
sc stop bymwmi ENTER
sc delete bymwmi ENTER

Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !

Dann startest du den Rechner im normalen Modus neu.

Deinstalliere Deamon Tools sowie OODefrag. Räume wieder mit dem cCleaner auf und starte den Rechner neu.

Poste ein frisches gmer log.

Zitat:

Der CureIT Scan sollte nach Möglichkeit schon im Abgesicherten Modus erfolgen.
Warum fragst du? Macht der Abgesicherte Probleme?

Ob der abgesicherte Modus Probleme macht weiss ich nicht, denke aber nicht, habe noch nicht ausprobiert. Ich frage, weil an dem Rechner einige Prozesse laufen, die ich ungerne stoppen würde, dass heißt für mich, dass ich den Scan nur irgendwann nachts machen kann.. Siehe dazu auch zweiten Post von mir.

Zum FileAssasin: Kann ich auch den internen von MBAM benutzen?

Zitat:

Deinstalliere Deamon Tools sowie OODefrag.

Dazu frage ich lieber meinen Kollegen inwieweit er diese Programme benutzt, werden bei nicht- Bedarf deinstalliert.

Zum Rest: Wird ausgeführt soweit ich an den Rechner komme. Sollte morgen erfolgen. Mit CureIt könnte es halt ein wenig dauern wegen safe boot mode.

Danke nochmal für die Hilfe.:daumenhoc

P.S.: Bei einem Rechner der mit dem obigen in einem Netzwerk verbunden ist, hat das gleiche Problem (AV- Seiten), nur das Problem dort ist, dass soweit ich dort GMER oder Avira Anti-rootkit starte (beide exe's umbennant da sonst nicht gestartet), stürzt der Rechner ( nach kurzer Scanzeit- ca 2-3 sec) ab und /oder startet sich neu (ohne bluescreen) . Blacklight geht, hat aber nichts gefunden..
Soll ich dazu einen extrathread eröffnen?

:dankeschoen:

MfG dborys

Zitat:

weil an dem Rechner einige Prozesse laufen, die ich ungerne stoppen würde,

:confused: Was für Prozesse sind das?

Zitat:

Zum FileAssasin: Kann ich auch den internen von MBAM benutzen?

:confused: Ich habe dir doch den Link zu fileASSASSIN von der Herstellerseite Ma!wa€rbyt€s gepostet. (Habe den Hersteller jetzt extra anders geschrieben! !=l und €=e) Wird bei dir der Link evtl. vom Schädling verändert? Dann auf keinen Fall darauf klicken! In dem Fall müssen wir anders vorgehen.

Zitat:

Dazu frage ich lieber meinen Kollegen inwieweit er diese Programme benutzt, werden bei nicht- Bedarf deinstalliert.

Das ist uns ziemlich egal inwieweit er die Programme benutzt. Die kann er hinterher wieder installieren aber wenn er möchte das wir helfen werden die bitte deinstalliert.

Zitat:

Mit CureIt könnte es halt ein wenig dauern wegen safe boot mode.

CureIT wird ausgeführt bevor es weitergeht!

Zitat:

Soll ich dazu einen extrathread eröffnen?

Jo, bitte ein Rechner pro Thread.

Zitat:

Zitat von undoreal (Beitrag 421898)

Was für Prozesse sind das?

Ich denke das kann man sehr gut aus dem HJT -Log nachvollziehen. Ist halt ein Rechner der im Betrieb eines I-Cafes läuft. Falls dies ein Problem sein sollte tut es mir leid nicht vorher angesprochen zu haben, ich dachte nur das hat man aus dem Log nachvollziehen können.

Zum File Assassin: Ich habe einfach so angefargt ob man den internen benutzen könnte, der Hersteller ist doch der selbe.
Könnte aber sein, dass der download vom schädling blockiert werden könnte, kam als ich beim letzen mal versucht habe auf die Malewarebytes Seite zu kommen nicht darauf, die übliche Fehlermeldung: "Seite nicht gefunden".
Ich werde vielleicht aus dem Heimrechner von dem ich gerade schreibe die jeweiligen dateien umbenennen und irgendwo hochladen und dann vom verseuchten Rechner runterladen und starten.

Zu CureIT: Siehe oben, werde aber wie gesagt so schnell wie möglich versuchen den Scan zu machen.

Zu den zu deinstalliernden Programmen: Werde ich machen, dachte nicht dass diese eine große Bedeutung für die Bereinigung haben, sonst hätte ich die Deinstallation gar nicht in Frage gestellt.

Zitat:

CureIT wird ausgeführt bevor es weitergeht!

Siehe oben.

Zitat:

Jo, bitte ein Rechner pro Thread

Hab ich mir gedacht, wollte halt nur nachfragen weil die beiden Rechner in einem Netzwerk sind.

Denke komme morgen an die beiden Rechner dran.

Gute Nacht zusammen.