PC blockt die Ausführung von Anti-Malware-Programmen und Virenscannern
 

Ich bin am Verzweifeln!
Zuerst konnte ich mein Avira Antivir Premium nicht updaten. Sobald ich auf Update ging kam die Meldung, es könne keine Verbindung mit dem Internet hergestellt werden, obwohl ich ansonsten problemlos ins I-Net kam. Ich musste Avira runterschmeißen und neu downloaden, damit es wieder funktioniert.
Dann fiel mir auf, dass ich über google keine Links anklicken konnte. Wenn ich das tat, landete ich auf irgendwelchen Seiten aber nicht da, wo ich hinwollte.

Deshalb wollte ich Super Anti-Spyware downloaden. Ich kam anfangs auf die Seiten (zdnet, etc.), ging ich aber auf download kam fehlermeldung: Keine Verbindung mit dem Internet. Über Computerbild konnte ich das dann endlich downloaden. Klicke ich aber auf den Icon auf meinem Desktop, passiert gar nichts. Ebenso geht es mir mit dem Programm Malwarebytes und HijackThis, weshalb ich kein Logfile posten kann. :eek:

Ich habe schon versucht, diese Programme über den Opera zu downloaden, allerdings mit dem gleichen Ergebnis.

Ich hoffe daher auf eure Hilfe.

Mein Betriebssystem Windows XP
Browser Internet Explorer

Avira hat Folgendes gefunden:

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\DVDTool.exe
[FUND] Ist das Trojanische Pferd TR/PCK.Tdss.W.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a987b85.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\tmpBF.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac47b9c.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\tmpC0.tmp
[FUND] Ist das Trojanische Pferd TR/Alureon.BP.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49aeccf5.qua' verschoben!
C:\Programme\DVDTool\Uninstall.exe
[FUND] Ist das Trojanische Pferd TR/TDss.aips
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4abd7b9e.qua' verschoben!
C:\WINDOWS\temp\tempo-50787640.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Router.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac17b95.qua' verschoben!
C:\WINDOWS\temp\tempo-50787921.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.122368.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b457e46.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 8. Juli 2009 12:55
Benötigte Zeit: 1:03:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7421 Verzeichnisse wurden überprüft
259429 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
259422 Dateien ohne Befall
1305 Archive wurden durchsucht
1 Warnungen
7 Hinweise
8165 Objekte wurden beim Rootkitscan durchsucht
5 Versteckte Objekte wurden gefunden

HAllo tweety665

>>
Gebe unter Start/Ausfuehren devmgmt.msc ein und druecke enter, dann ueber "Ansicht", "Ausgeblendete Geraete anzeigen" waehlen, "nicht-PNP-Treiber" anzeigen lassen und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten.
Nichts anderes!!

>>
Versuche nun nochmlas Malwarebytes. Evtl musst du es auf den Desktop speichern, dann umbenennen in z.B. Test.exe und ausführen.

Gruss Swiss

Diesen TDSSserv gibt es bei mir nicht. Könnte es NDIS Systemtreiber oder ssmdrv sein?

Maleware funktioniert trotz Umbenennung nicht.

Hallo und :hallo:

Er kann viele Namen haben.

ov...
gaopdx
Uacd
Skynet...
tds...

Der Name wird dir angezeigt, wenn du in Avira die Rootkitsuche aktivierst.

1.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt hier in den Thread.

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Erst einmal lieben Dank für den Willkommens-Smiley und deine Mühe.

Random hat funktioniert. Log poste ich hier.
Combofix funktioniert zwar nach Umbenennung, es kommt aber der Hinweis:
"Ablehnungshinweis
Die folgenden Seiten sind in keiner weise mit Combofix verbunden:
combofix.org und combofix.download
solltest du von dieser seite irgendwas gekauft haben schlage ich vor........" etc.

Den Ccleaner habe ich durchlaufen lassen.

Anhang 3519

Anhang 3520

Es fehlt noch die info.txt von RSIT.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Erst einmal tausend Dank für deine Anleitungen, die sogar ich verstehe :dankeschoen:
Anhang 3522

Anhang 3523

Gleich ein neues Skript für den Avenger (aka Hopsassa):
Poste das Log, genau wie eben.

Lasse gleich im Anschluss, wenn der Rechner neugestartet ist, ComboFix laufen. Der sollte dann wieder funktionieren.

ciao, andreas

Anhang 3525

Combofix hab ich auch gestartet. Da meldet sich aber sofort der Antivir:

C:\32788R22FWJFW\n.pif
Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert. HIDDENEXT/Crypted

Das liegt daran, dass du die Anleitung nicht sorgfältig gelesen hast.
Deaktiviere den Guard von Avira. Lade dir vorher ein neues Combofix herunter.

Hat Avira irgendetwas gelöscht? Avenger hat plötzlich nichts mehr gefunden.

ciao, andreas

Ja stimmt, ich hatte Antivir vergessen :headbang:

Antivir hat nichts gelöscht. Nach dieser Meldung, die ich gepostet hatte, bin ich auf Zugriff verweigern gegangen, das wars.

Das Super Antispyware funktioniert wieder, auch über Google kann ich wieder Seiten aufrufen.
Ich danke dir Tausend Mal Du hast mich und mein Lieblingsspielzeug gerettet. Vielen Dank für deine Mühe und deine Zeit:knuddel:

Anhang 3527

Noch sind wir nicht fertig. :) Eigentlich noch lange nicht. :D

Du hattest eine Umleitung in die Ukraine, ändere alle deine Kennwörter von einem sauberen Rechner aus.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Dass das noch nicht alles war, hatte ich befürchtet, aber ich freu mich schon riesig darüber zu sehen, dass es möglich ist, diese Biester runter zu kriegen.

Eine Umleitung in die Ukraine? Himmel, was mach ich da?:eek:

Ich find es absolut erstaunlich, dass du mit diesen Logs was anfangen kannst.:daumenhoc


Anhang 3529

Das Script wurde nicht abgearbeitet, bitte arbeite obige Anleitung nochmal genau ab. Erstelle das Script und ziehe es auf das Symbol von Combofix, so wie in der Grafik ersichtlich.

ciao, andreas

Aber das hatte ich doch getan.

Hab jetzt alles von Anfang an noch einmal gemacht.

Scripten mit Combofix

• Öffne den Editor (Start => Ausführen => notepad => OK) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Entschuldige bitte, ich hatte alles noch einmal neu gemacht aber nicht gemerkt, dass die Anhänge nicht im Posting waren.
Anhang 3533

Anhang 3531

Anhang 3532

Lade das komplette Log bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link.

ciao, andreas

http://www.materialordner.de/ZTvsKY3...IxDSggpu6.html
Dankeschön für den Tip.

Das sieht übelst aus. Lass mich raten, du hast seit dem 4.4. Probleme. Ich bin mir noch nicht sicher, aber das sieht verdächtig danach aus, dass sowohl alle deine Tastatureingaben als auch alle deine Monitoranzeigen aufgezeichnet wurden. Das ganze hat am 8.7. um 8:12 Uhr aufgehört. Hast du da einen Virenscanner o.ä. laufen gelassen?

Also wenn wir weitermachen sollen, dann stelle dich auf eine Menge Arbeit ein. Bis wir die Kiste wieder sauber haben, werden mindestens 3 Tage vergehen. Jetzt liegt es bei dir, ob du weitermachen möchtest oder lieber die schnelle und sichere Methode wählst => http://www.trojaner-board.de/51262-a...sicherung.html

ciao, andreas

Himmel, das ist ja heftig.
Also das genaue Datum könnte ich so nicht sagen. Das mit dem 8. könnte sein, dass ich da Antivir durchgejagt habe.
Ich würde ungern Windows neu raufpacken, da ich danach noch lange Zeit immer Schwierigkeiten habe, bis wirklich alles funktioniert, wg. Treibern und so. Außerdem hab ich bisher Windows immer nur neu aufgespielt und noch nicht formatiert. Denn wenn ich das machen wollte wurde mir immer gesagt, ich könne nicht das Laufwerk formatieren, auf dem ich arbeite.

Wenn du mit mir drei Tage verbringen würdest, würde ich mich riesig freuen. Aber ich versteh auch, wenn dir das zu heftig ist. Schließlich verbringen wir ja schon die zweite Nacht zusammen :lach:

1.) Deinstalliere:

• Bonjour
• getPlus(R) for Adobe
• Google Update Helper
• J2SE Runtime Environment 5.0 Update 11
• J2SE Runtime Environment 5.0
• Java(TM) 6 Update 10
• Java(TM) 6 Update 2
• Java(TM) 6 Update 3
• Java(TM) 6 Update 6
• Java(TM) 6 Update 7
• Java(TM) SE Runtime Environment 6 Update 1
• Malwarebytes
• Sophos Anti-Rootkit 1.3.1
• Startup Booster v2.1
• SuperAntiSpyware

2.) Installiere:

• Java-Downloads für alle Betriebssysteme - Sun Microsystems
• Malwarebytes.org

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

GetPlus(R)for Adobe konnte ich nicht deinstallieren. In der Softwareliste ist es zwar zu finden, allerdings ohne Angabe einer Dateigröße. Wenn ich auf Entfernen gehe, passiert gar nichts. Über die Suche war es nicht zu finden.

http://www.materialordner.de/MAPsZH9DCwzDUYJmwjow76lirjdTVaSx.html

Ich muss mich verbessern. Hab dieses getPlus jetzt mit dem Ccleaner entfernt.

1.) Deinstalliere ComboFix:
Start => Ausführen => combofix /u => OK

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

2.) Erstelle ein Filelisting.

• Lade die Datei listing1.bat auf deinen Desktop
• Doppelklicke auf listing1.bat
• Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Vielen lieben Dank.

listing:
http://www.materialordner.de/Vlk1aXY...PLX4VFi1q.html

kaspersky:
http://www.materialordner.de/xvQQE1T...hEo09Jr17.html

http://img33.imageshack.us/i/prevx.png/

Nach dieser Anzeige bin ich auf ja gegangen und hab den PC dann neu starten lassen. Der darauf folgende Scan zeigte: System clean

Gut. Weiter mit

1.) http://www.trojaner-board.de/51187-a...i-malware.html

2.) http://www.trojaner-board.de/51871-a...tispyware.html

3.) http://www.trojaner-board.de/59299-a...eb-cureit.html

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

Puh, geschafft.

Malware-Log:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2404
Windows 5.1.2600 Service Pack 3

11.07.2009 10:23:11
mbam-log-2009-07-11 (10-23-11).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 144420
Laufzeit: 3 hour(s), 30 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\DVDTool (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\administrator\Desktop\Trojaner\Uninstall.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\Google\Chrome\user data\Default\Cache\f_00015d (Rogue.Installer) -> Quarantined and deleted successfully.


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/11/2009 at 01:11 AM

Application Version : 4.26.1006

Core Rules Database Version : 3985
Trace Rules Database Version: 1925

Scan type : Complete Scan
Total Scan Time : 02:41:45

Memory items scanned : 459
Memory threats detected : 0
Registry items scanned : 4853
Registry threats detected : 2
File items scanned : 19603
File threats detected : 35

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@apmebf[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@kaspersky.122.2o7[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@traffictrack[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@xml.trafficengine[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@a2.adserver01[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.ad-srv[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.yieldmanager[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.zanox[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad2.yieldmanager[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ads.heias[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@adtech[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@eas.apm.emediate[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@track.webtrekk[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@tracking.quisma[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@traffictrack[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@tto2.traffictrack[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@webmasterplan[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.active-tracking[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.adservex[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.etracker[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.zanox-affiliate[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@xiti[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@zanox-affiliate[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@zanox[1].txt

Trojan.Unknown Origin
HKU\.DEFAULT\Software\ColdWare
HKU\S-1-5-18\Software\ColdWare

Rogue.AntiVirusDoktor
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00015D


Dr. Web

DVDTool.exe;C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner;BackDoor.Tdss.119;Gelöscht.;
tempo-50787640.tmp;C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner;Trojan.PWS.IpDiscover.3;Gelöscht.;
tempo-50787921.tmp;C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner;Trojan.Siggen.2478;Gelöscht.;
A0062512.exe;C:\System Volume Information\_restore{7983A6B3-9F06-4629-A267-731918852CA6}\RP282;BackDoor.Tdss.119;Gelöscht.;

Active Scan
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-07-12 07:51:04
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.30 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00034463 adware/wupd Adware No 0 Yes No c:\windows\downloaded program files\activex.inf
00110851 adware/qoologic Adware No 0 Yes No c:\windows\downloaded program files\installer.exe
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[2].txt
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@com[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[1].txt
02039662 Adware/SystemGuard2009 Adware No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner\tmpBF.tmp
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location .
;===================================================================================================================================================== ==============================
No C:\System Volume Information\_restore{7983A6B3-9F06-4629-A267-731918852CA6}\RP281\A0062467.exe .
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description .
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Von wo und warum hast du dieses DVDTool geladen?

ciao, andreas

Ich hab das gar nicht runtergeladen. Ich weiß selbst nicht wo das herkommt. Hab das irgendwann bei Start-Programme gesehen. Wenn man das aufrief passierte gar nichts.

Da irrst du, es passierte jede Menge. Der Rechner gehörte danach nicht mehr dir sondern zu einem Botnetz. :)

Ein nettes Video von der völlig veralteten BSI-Site (das vor Falschaussagen nur so strotzt. Nein, mit einem Antivirenprogramm schützt du dich nicht, nein, wenn du nur Mails von Bekannten annimmst, bist du genauso gefährdet, als wenn du auf alles klickst.) Andererseits ist es nett animiert. :D
Bot-Netze

ciao, andreas

Was ist BSI? Ehrlich, ein Video war nicht zu sehen. Es öffnete sich nicht mal ein Player oder so. Mein Freund hat vor langer Zeit einen TVU Player und Soap Cast runtergeladen. Ich hatte vermutet, dass das vielleicht dazu gehört.

Aber der PC ist noch immer infiziert, oder?

Ah sorry, bin auf den letzten Link gegangen, nu weiß ich, was bsi ist ;)
Na toll, ich befolge alle 4 Regeln und mein PC ist trotzdem komplett verseucht. Ich hab sicherheitshalber meinen Online-Banking-Account sperren lassen.

Für die zwei oder drei Leute, die hier noch mitlesen sollten:
Bundesamt für Sicherheit in der Informationstechnik

Die Site ist nicht schlecht, abgesehen davon, dass sie grauenhaft veraltet ist und nicht mehr gepflegt wird.

ciao, andreas

Edit: Ich sagte doch, die Regeln kannst du knicken, die stimmen nicht mal ansatzweise. Klicke auf die letzten beiden Links in meiner Signatur. Die Regeln sind uralt, stimmen aber immer noch.

Muss ich nun noch irgend etwas machen oder ist der PC jetzt sauber?

Ich hab ehrlich überlegt, wie ich mich bei dir bedanken kann. Aber das ist alles so banal. Ich bewundere Leute wie dich, die Unmengen an Zeit und Arbeit investieren, um geduldig die zerschossenen PCs von fremden Leuten wie mir wieder zum Laufen zu bringen. Ich danke dir Tausend Mal, dass du mich und meinen PC gerettet hast. :party::knuddel:

http://img29.imageshack.us/img29/4900/mercip.th.gif