Hier nund die links zu den gewünschten Dateien:

cofi

cofi.exe

Grüße

OK, jetzt ist es klar. Du hast sie in cofi.exe.exe umbenannt. Lösche die Ordner:
Führe anschließend das Script nocheinmal aus.

ciao, andreas

Habe mir ne neue ComboFix ohne umzubenennen auf den Desktop geladen und das gepostete Script (cfscript.txt) daraufgezogen.

Wie bereits gehabt, hat sich ComboFix bei "Starte Windows neu ... Bitte warten" aufgehängt.
Kann es sein, dass am Inhalt des Scripts liegt, da die gewünschten Befehle bereits beim ersten Mal durchgeführt und die Dateien darin nicht mehr vorhanden sind?

Gruß Kuss80

Lass ihn nochmal ohne Script durchlaufen, dann sehe ich das.

ciao, andreas

Der Weg hat leider auch kein Erfolg gebracht.
An der gleichen Stelle wieder eingefroren.

Irgendwas muss den Neustart von ComboFix stören.

Was meinst du Andreas, sollten wir nochmals einen der anderen Schritte vorher durchführen?

Gruß Kuss80

Wenn ComboFix partout nicht will, dann machen wir das halt anders.

1.) Lade dir den Anhang auf deinen Desktop, starte ihn mit Doppelklick, klicke auf Ja und lösche die Datei.

2.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Hallo Andreas,

hat alles soweit funktioniert.

Hier die Infos:

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Lbd" not found!
Deletion of driver "Lbd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pavboot" not found!
Deletion of driver "pavboot" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pxscan" not found!
Deletion of driver "pxscan" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\pxsec" not found!
Deletion of driver "pxsec" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\CSIScanner" not found!
Deletion of driver "CSIScanner" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Lavasoft Ad-Aware Service" not found!
Deletion of driver "Lavasoft Ad-Aware Service" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\catchme" not found!
Deletion of driver "catchme" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Bonjour Service" not found!
Deletion of driver "Bonjour Service" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\Tasks\Ad-Aware Update (Weekly).job" not found!
Deletion of file "c:\windows\Tasks\Ad-Aware Update (Weekly).job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT" deleted successfully.

Error: file "c:\windows\system32\perfc007.dat" not found!
Deletion of file "c:\windows\system32\perfc007.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\perfh007.dat" not found!
Deletion of file "c:\windows\system32\perfh007.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\cadkasdeinst01.exe" not found!
Deletion of file "c:\windows\cadkasdeinst01.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\Erasext.dll" not found!
Deletion of file "c:\windows\system32\Erasext.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\Eraser.dll" not found!
Deletion of file "c:\windows\system32\Eraser.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\Eraserl.exe" not found!
Deletion of file "c:\windows\system32\Eraserl.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\Lbd.sys" not found!
Deletion of file "c:\windows\system32\drivers\Lbd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\lsdelete.exe" not found!
Deletion of file "c:\windows\system32\lsdelete.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\pavboot.sys" not found!
Deletion of file "c:\windows\system32\drivers\pavboot.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\pxsec.sys" not found!
Deletion of file "c:\windows\system32\drivers\pxsec.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\pxscan.sys" not found!
Deletion of file "c:\windows\system32\drivers\pxscan.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\Software\Windows\DownloadManager\654.rar" not found!
Deletion of file "D:\Software\Windows\DownloadManager\654.rar" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe" not found!
Deletion of file "C:\Programme\Vortex Prestige\Classes\data\extras\LSPatch.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\Prevx" not found!
Deletion of folder "c:\programme\Prevx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\Panda Security" not found!
Deletion of folder "c:\programme\Panda Security" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Programme\uTorrent" not found!
Deletion of folder "C:\Programme\uTorrent" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0" not found!
Deletion of folder "E:\Software\Fotografie\Corel\Paint_Shop_Pro_Photo_ X2_v12.0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "E:\Software\Utilities\FlyakiteOSX Transformer" not found!
Deletion of folder "E:\Software\Utilities\FlyakiteOSX Transformer" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "E:\von_Sonstiges\Software\Accessdiver" not found!
Deletion of folder "E:\von_Sonstiges\Software\Accessdiver" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\WindowBlinds" not found!
Deletion of folder "C:\WindowBlinds" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "D:\Filesharing" not found!
Deletion of folder "D:\Filesharing" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\rsit" not found!
Deletion of folder "C:\rsit" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\Lavasoft" not found!
Deletion of folder "c:\programme\Lavasoft" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\windows\SxsCaPendDel" not found!
Deletion of folder "c:\windows\SxsCaPendDel" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\Programme\Bonjour" not found!
Deletion of folder "c:\Programme\Bonjour" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia" not found!
Deletion of folder "c:\dokumente und einstellungen\Sofi\Anwendungsdaten\Macromedia" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy" not found!
Deletion of folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\PDF Passwort Knacker 1" not found!
Deletion of folder "c:\programme\PDF Passwort Knacker 1" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\PDF Password Remover v3.0" not found!
Deletion of folder "c:\programme\PDF Password Remover v3.0" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\programme\Eraser" not found!
Deletion of folder "c:\programme\Eraser" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser" not found!
Deletion of folder "c:\dokumente und einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Eraser" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Bis auf einen Prozess hat wohl ComboFix schon alles beseitigt gehabt.

Und nun, was soll ich als nächstes tun?
(Evtl. ComboFix noch einmal versuchen?)

Danke und Gruß
Kuss80

1.) Neues Skript für Avenger:
2.) Lösche anschliessend den Ordner
und die Datei
und Hopsassa von deinem Desktop.

3.) Lade die Datei
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

4.) Was befindet sich in den Ordnern?
5.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

6.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Hallo Andreas,

hab jetzt so weit alles durch.

zu 1.) Nach dem Neustart wurde mir folgendes von Kaspersky Internet Security 2009 gemeldet:

http://pic.leech.it/i/2ae14/6d3f3c8ckaspzipexe.jpg

Habe nichts angeklickt, jedoch verschwand die Meldung nach einer Weile von selber.

zu 3.) Datei wurde gestern bereits hochgeladen.

zu 4.) Die beiden Ordner sind leer und beinhalten keine Dateien.

zu 5.) hier die die Logfile-Infos:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 4. August 2009 15:48:16
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 3/08/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2335924
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
O:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 194998
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 11:21:41

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\av39.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\00000001_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\00\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\00000102_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\01\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\000000C6_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\02\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\00000102_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\03\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\000000C4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\04\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\000000E4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\05\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\000000E4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\06\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\000000E4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\07\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\000000E4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\08\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_events.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\000000C4_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\09\segments.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\detected.idx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\detected.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\g_objbt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\g_objdt.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\g_objid.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Report\report.rpt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009080320090804\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Markus(s)\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox2.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox2.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{18E9B3FA-C192-435E-90FD-140F9E190115}\RP8\change.log Das Objekt ist gesperrt übersprungen
E:\PC Treiber\LG Updates\Jun.04\Firmware\GSA4081A101.exe Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{18E9B3FA-C192-435E-90FD-140F9E190115}\RP8\change.log Das Objekt ist gesperrt übersprungen
K:\System Volume Information\_restore{18E9B3FA-C192-435E-90FD-140F9E190115}\RP8\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

zu 6.) Hier wurde mir folgendes angezeigt:

http://pic.leech.it/i/4d9fc/487b8cacprevx04080.jpg

Habe nicht bisher ausgewählt, noch ist die Meldung sichtbar.

Und das Ergebnis:

http://pic.leech.it/i/7ee8f/985ba9a6prevxresul.jpg

Und nun, was soll ich als nächstes tun?

Grüße Kuss80

Das sind Überreste vom Avenger. Falls du die beseitigen möchtest, benötige ich ein neue listing.txt. Lasse nochmal listing1.bat laufen.
Die war sauber, es gibt auch ein Schädling mit dem Namen.
Lasse Prevx reparieren. Falls es nicht funktioniert, dann nehmen wir LSPFix.
Lösche ComboFix von deinem Desktop und poste ein aktuelles HJT-Log.

Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten?

ciao, andreas

Hi Andreas,

dann fangen wir mal an!

Hier der link zur listing.txt: listing.txt

Prevx hat alles schön repariert und dann einen Neustart durchgeführt.

Die ComboFix wurde vom Desktop gelöscht und hier nun die Info aus der Logdatei von HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:21:20, on 04.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Programme\Allzeit Atomzeit\Atomzeit.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Markus(s)\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [Vistadrv] C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe
O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe
O4 - Startup: Allzeit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

--
End of file - 4564 bytes

Für mich ist eine enorm positive Veränderung am System festzustellen.
Der Rechner fährt bereits schneller hoch, die Zugriffszeiten der Programme haben sich deutlich verbessert und mir kommt es auch so vor, als würde das I-Net schneller laufen.

Was meinst du, welche Schritte sollten wir noch durchführen?

Gruß und vielen Dank für die bisherige Hilfe
Kuss80

1.) Deinstalliere PrevxCSI. Der MSIE ist total veraltet und unsicher, auch wenn du ihn nicht bentutzt, immer den aktuellen laden.

2.) Lösche die Dateien:
3.) Lösche die Ordner:
4.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked => Neustart => Neues HJT-Log posten.

ciao, andreas

zu 1.) PrevxCSI wurde deinstalliert. Wegen dem MSIE, soll ich die Version 8 laden und diese installieren? Als Standard Browser verwende ich aktuell Opera, wobei ich am überlegen bin auf Firefox umzusteigen.

zu 2 und 3.) Dateien und Ordner wurden gelöscht.

zu 4.) Hier ist das Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:23:52, on 04.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Programme\Allzeit Atomzeit\Atomzeit.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Markus(s)\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [Vistadrv] C:\Programme\Vortex Prestige\Classes\data\prog\VIPhd\vsdrv.exe
O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe
O4 - Startup: Allzeit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

--
End of file - 2885 bytes

Gruß Kuss80

Ja.

Du bist entlassen. :)

ciao, andreas

MoinMoin Andreas,

die letzten Tage bin ich leider nicht dazugekommen zu antworten, sorry.

MSIE hab ich nun in der 8er-Version auf dem Rechner.

Kann ich deine Antwort so deuten, dass wir mit der Beseitigung der Schädlinge somit am Ende sind?
Kann ich die übrigen Dateien (z.B. listing1, backups (Ordner auf dem Desktop), sonstige logdateien) löschen und CCleaner deinstallieren?

Was für Programme sollte ich den sonst aus dem Kaspersky InternetSecurity auf dem Rechner zur eigenen Sicherheit installieren?
Oder sollte ich auf ein anderes Security-Programm, nach dem Ablauf meiner aktuellen Lizenz umsteigen?

Möchte mich nochmals bei dir für die Hilfe bedanken (vielen Dank, Merci, Thank you, Gracias, Spacibo, ... :daumenhoc :daumenhoc :daumenhoc)

Grüße Kuss80