Hier:
http://www.materialordner.de/StK5Vlqb7JxJxeeVA3Jdkelf1jAd8HV.html

hab ich wohl 2x dasselbe hochgeladen^^

1.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

Endlich fertig^^ hier ist der Logfile:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-08-08 22:27:05
PROTECTIONS: 1
MALWARE: 16
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139059 Cookie/Traffic Marketplace TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@trafficmp[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@tradedoubler[2].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@apmebf[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@adtech[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@advertising[1].txt
00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@zedo[2].txt
00207936 Cookie/Adviva TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@adviva[1].txt
01409564 Trj/Agent.MIK Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{6DAD3D5A-9C21-4843-A3A4-06601EDF3A7A}\RP85\A0082398.dll
01409564 Trj/Agent.MIK Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\MSIVXjjpmdwurwiwmvvrjxluptbdpjbiqjdcb.dll.vir
01606636 Cookie/Adserver TrackingCookie No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Cookies\system@adserver.easyad[1].txt
02460073 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{6DAD3D5A-9C21-4843-A3A4-06601EDF3A7A}\RP85\A0082399.dll
02460073 Spyware/Virtumonde Spyware No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\MSIVXlhtpniprjmnkowndxtewnrnkviimrqlt.dll.vir
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{6DAD3D5A-9C21-4843-A3A4-06601EDF3A7A}\RP85\A0082414.sys
03738688 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Moritz Maximilian\Lokale Einstellungen\Anwendungsdaten\No23 Recorder\vorbis.dll
03738747 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Moritz Maximilian\Lokale Einstellungen\Anwendungsdaten\No23 Recorder\vorbisenc.dll
03738911 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Moritz Maximilian\Lokale Einstellungen\Anwendungsdaten\No23 Recorder\vorbisfile.dll
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location H
;===================================================================================================================================================== ==============================
No C:\System Volume Information\_restore{6DAD3D5A-9C21-4843-A3A4-06601EDF3A7A}\RP53\A0061600.exe H
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description H
;===================================================================================================================================================== ==============================
210625 HIGH MS09-026 H
210624 HIGH MS09-025 H
210621 HIGH MS09-022 H
210618 HIGH MS09-019 H
;===================================================================================================================================================== ==============================



http://img256.imageshack.us/img256/8...nnt2lzt.th.jpg

Fertig :-D

Gruß das-mo

Lade die Dateien
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

ciao, andreas

Ok hab ich gemacht

gruß moritz

:confused: Kann mir mal irgendwer erklären, warum PrevxCSI ihn erkennt und bei VT wird er von Prevx nicht erkannt? Gut, er ist mit ASPack gecrypted und darauf springt eSafe immer an, aber Sinn ergibt das jetzt nicht wirklich.
ciao, andreas

Ich ahb eh ka davon aber hättse ma was gesagt, ich hätts auch bei Vt hochladen könnenn^^

Gruß moritz

Das war nur der erste Schritt, wir haben noch mehr Auswertemöglichkeiten und direkten Draht zu den AVP-Herstellern. :)

Meine weibliche Intuition sagt ganz klar, Falschmeldung.

Weiter mit => Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

Sagen wirs ma so, bis jetzt wurd noch nie was gelöscht, immer nur gescannt^^
Darf ich eig die ganzen Programme wieder deinsallieren?


EDIT: Der Kaspersky Onlinescanner funjktioniert bei mir irgendwie nicht. Wenn ich in dem Popuo auf Akzeptieren klicke, will der das installieren. Nachdem der Balken 50mal durchgelaufen ist kommt eine Fehleremeldung bzw. ein rotes X. Klick ich oben auf die Leiste vmo IE wo steht möchten sie das Add-on installieren, springt der zurück uzm vorherigen Fenster und nichts passiert.

Klar. Deinstalliere Panda Active Scan und PrevxCSI.
Der zickt häufiger herum. Ist nicht schlimm. Wir haben noch mehr. :)

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Starte den MSIE und rufe folgende Adresse auf => Microsoft Windows Update
Benutzerdefinierte Installation => Alle Sicherheitsupdates und Treiberupdates durchführen, die optionalen Updates nicht durchführen!

3.) http://www.trojaner-board.de/59299-a...eb-cureit.html

ciao, andreas

Dazu möcht ich noch kurz was sagen. Habe heute Mittag alle optionalen Updates durchgeführt, ist das jetzt schlimm.?

So hier ist der Bericht von DR.Web CureIt:

NMSMediaServer.dll;C:\Programme\Ahead\Nero MediaHome;Wahrscheinlich DLOADER.Trojan;;
Neuz.exe;C:\Programme\gPotato.eu\FLYFF;Wahrscheinlich Trojan.Packed.189;;
MSIVXjjpmdwurwiwmvvrjxluptbdpjbiqjdcb.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;BackDoor.Tdss.223;Gelöscht.;
MSIVXlhtpniprjmnkowndxtewnrnkviimrqlt.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;BackDoor.Tdss.277;Gelöscht.;

Die ersten beiden Funde sehen verdächtig nach Fehlalarm aus. Hole sie aus der Quarantäne und überprüfe sie bei VirusTotal - Free Online Virus and Malware Scan.

Poste ein neues HJT-Log.

ciao, andreas

Wie geht das?

Gruß mo

Äh, müsste ich erst runterladen und schauen. Geht wohl schneller, wenn du Nero und GPotato deinstallierst und nochmal neu installierst.

Deinstalliere auch DrWeb und lösche anschließend den Ordner C:\Programme\DrWeb.

Ich brauche neue Logs von RSIT und listing1.bat.

1.) http://www.trojaner-board.de/51871-a...tispyware.html

2.) http://www.trojaner-board.de/51187-a...i-malware.html

ciao, andreas