Trojaner-Board - malware defense und security alert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - malware defense und security alert (https://www.trojaner-board.de/81338-malware-defense-security-alert.html)

malware defense und security alert

hallo,

ich habe exakt daselbe Problem wie hier: http://www.trojaner-board.de/81170-m...blocker-2.html

Also alle 2 Minuten öffnen sich 2 Fenster. Einmal ein windows alert security Fenster, dass sagt, dass ich ein Virus wie Net-Worm.Win32.Mytob.t habe und solle auf "enable protection" klicken. Dann öffnet sich auch immer ein Installationsfenster der Malware Defense Installer. Auch kann ich in der Taskleiste das Windows Security fensteröffnen, dass ist aber ein falsches, da meins deutsch ist und bei mir steht, dass mein Antivir aktiv ist. Außerdem kann ich mein Antivir-programm nicht öffnen!

Was soll ich tun? Wollte Combofix nicht ohne Expertenmeinung laufen lassen.

Ich brauche drinigend HILFFEEEEEEEE!!!

Also ich habe beim Download von hijakcthis einfach den namen geändert. Funzt nun, also hier das Log file:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:25:20, on 06.01.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\msb.exe

C:\Programme\D-Link\AirPlus G\AirGCFG.exe

C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programme\RssReader\RssReader.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\settdebugx.exe

C:\Programme\MSI\US54EX\Installer\WINXP\MSI US54EX Wireless Client Utility.exe

C:\Programme\Orbitdownloader\orbitdm.exe

C:\Programme\Trillian\trillian.exe

C:\Programme\Orbitdownloader\orbitnet.exe

C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\wscsvc32.exe

C:\Programme\Uniblue\RegistryBooster\registrybooster.exe

C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Programme\ICQ6Toolbar\ICQ Service.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\c.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: (no name) -  - (no file)

R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)

O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll

O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [RssReader] C:\Programme\RssReader\RssReader.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide

O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [LREC75DND7] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\c.exe

O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\settdebugx.exe

O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan

O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "launcher.exe" delay 20000

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe

O4 - Global Startup: MSI US54EX Wireless Client Utility.lnk = C:\Programme\MSI\US54EX\Installer\WINXP\MSI US54EX Wireless Client Utility.exe

O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .mu3: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll

O12 - Plugin for .mus: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll

O12 - Plugin for .mut: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll

O12 - Plugin for .myr: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll

O12 - Plugin for .xmz: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
 

--

End of file - 10655 bytes

Wäre sehr nett, wenn mir einer sagt, was ich machen muss. Ich sitze hier schon seit 6 Stunden dran und ich will meinen PC nicht ausschalten!!!:heulen::heulen:

Hi,

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

Drivers to delete:

H8SRTd.sys

 

Files to delete:

C:\WINDOWS\msb.exe

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\settdebugx.exe

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\wscsvc32.exe

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\c.exe

C:\Programme\Malware Defense\mdefense.exe
 

Folders to delete:

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

C:\Programme\AskPBar

C:\Programme\Malware Defense

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

Die avenger log habe ich nicht mehr. Scheint aber alles geklappt zu haben. Es kommen keine fenster mehr!

Hier die MAM Log:

Code:

Malwarebytes' Anti-Malware 1.43

Datenbank Version: 3504

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702
 

06.01.2010 23:13:15

mbam-log-2010-01-06 (23-13-15).txt
 

Scan-Methode: Vollständiger Scan (C:\|I:\|)

Durchsuchte Objekte: 388399

Laufzeit: 1 hour(s), 49 minute(s), 25 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 15

Infizierte Registrierungswerte: 3

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 24
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

c:\WINDOWS\system32\sshnas.dll (Trojan.Downloader) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\coresrv.lfgax (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\coresrv.lfgax.1 (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{b0cb585f-3271-4e42-88d9-ae5c9330d554} (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\coresrv.coreservices (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\coresrv.coreservices.1 (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\wallpaper.wallpapermanager (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\wallpaper.wallpapermanager.1 (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\WINDOWS\system32\sshnas.dll (Trojan.Downloader) -> Delete on reboot.

C:\Avenger\settdebugx.exe (Rogue.Installer) -> Quarantined and deleted successfully.

C:\Avenger\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Avenger\Temp\d.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Avenger\Temp\sshnas.dll (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Avenger\Temp\a.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IH52CXG4\eHf7ba66a5V0100f070006R8de80be1102Tbcfe1d00201l000730dP000301080[1] (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Programme\EasyBurning\compare.exe (Malware.Packer) -> Quarantined and deleted successfully.

C:\Programme\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.

C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc808.exe (Trojan.Banker) -> Quarantined and deleted successfully.

C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc794\mdefense.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc794\mdext.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc794\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP472\A0156483.exe (Trojan.Banker) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\H8SRTcrbuwnsxrh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\H8SRTibwkmxodul.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\H8SRTkmlxtpfaiw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\H8SRTdyiyejgvfl.sys (Malware.Packer) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\H8SRTslyabayvir.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.

Allersdings ging beim Löschen der Objekte mehrmals AntVir an, wegen Warnung. habe dann als auf zugriff verweigern geklickt. Sind die jetzt aber trotzdem gelöscht? Soll ich die in Quarantäne lassen oder ganz löschen?
Wieso waren eini0ge Objekte in dem avenger Ordner? Wurden die von avenger nicht gelöscht?

Hi,

nein, Avenger legt ein Backup an (das wurde gefunden und "bereinigt").

Wenn Avira den Zugriff verweigert hat, dann konnte MAM die Daten auch nicht löschen! Nimm den Rechner vom Netzt, update vorher noch mal MAM, trenne dann, schalte Avira-Guard aus, Fullscan mit MAM & alles bereinigen lassen. Neu booten, Avira an und Fullscan mit Avira. Logs noch mal posten...

chris

Hier das MAM-log. hat aber nix ,ehr gefunden.

Code:

Malwarebytes' Anti-Malware 1.43

Datenbank Version: 3504

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702
 

07.01.2010 13:38:49

mbam-log-2010-01-07 (13-38-49).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 369084

Laufzeit: 1 hour(s), 25 minute(s), 34 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Hier das Avira-Log:

Code:



Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Donnerstag, 7. Januar 2010  14:31
 

Es wird nach 1503943 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir Personal - FREE Antivirus

Seriennummer:     0000149996-ADJIE-0000001

Plattform:        Windows XP

Windowsversion:   (Service Pack 2)  [5.1.2600]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     CHRIS
 

Versionsinformationen:

BUILD.DAT     : 8.2.0.354      17048 Bytes  23.10.2009 13:15:00

AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 16:21:42

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 17:23:06

LUKE.DLL      : 8.1.4.5       164097 Bytes  18.07.2008 17:23:06

LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.07.2008 17:23:06

ANTIVIR0.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 14:59:02

ANTIVIR1.VDF  : 7.10.1.11    1395568 Bytes  19.11.2009 14:59:37

ANTIVIR2.VDF  : 7.10.2.140   1769376 Bytes  07.01.2010 13:30:40

ANTIVIR3.VDF  : 7.10.2.141     36864 Bytes  07.01.2010 13:30:40

Engineversion : 8.2.1.130 

AEVDF.DLL     : 8.1.1.2       106867 Bytes  16.09.2009 15:36:40

AESCRIPT.DLL  : 8.1.3.7       594296 Bytes  04.01.2010 19:12:15

AESCN.DLL     : 8.1.3.0       127348 Bytes  10.12.2009 15:39:52

AESBX.DLL     : 8.1.1.1       246132 Bytes  24.11.2009 14:59:58

AERDL.DLL     : 8.1.3.4       479605 Bytes  01.12.2009 14:46:33

AEPACK.DLL    : 8.2.0.4       422263 Bytes  04.01.2010 19:12:09

AEOFFICE.DLL  : 8.1.0.38      196987 Bytes  18.06.2009 14:19:53

AEHEUR.DLL    : 8.1.0.192    2195833 Bytes  04.01.2010 19:12:05

AEHELP.DLL    : 8.1.9.0       237943 Bytes  16.12.2009 19:09:31

AEGEN.DLL     : 8.1.1.83      369014 Bytes  04.01.2010 19:11:50

AEEMU.DLL     : 8.1.1.0       393587 Bytes  08.10.2009 06:58:52

AECORE.DLL    : 8.1.9.1       180598 Bytes  10.12.2009 15:39:51

AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 11:48:28

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.07.2008 17:23:06

AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 17:23:06

AVREP.DLL     : 8.0.0.3       155688 Bytes  20.04.2009 17:04:18

AVREG.DLL     : 8.0.0.1        33537 Bytes  18.07.2008 17:23:06

AVARKT.DLL    : 1.0.0.23      307457 Bytes  15.04.2008 18:55:40

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 17:23:06

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  15.04.2008 18:55:40

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.07.2008 17:23:06

NETNT.DLL     : 8.0.0.1         7937 Bytes  15.04.2008 18:55:40

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  18.07.2008 17:23:00

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  18.07.2008 17:23:00
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, I:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Donnerstag, 7. Januar 2010  14:31
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Es wurden '81052' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'orbitnet.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'trillian.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'orbitdm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'MSI US54EX Wireless Client Utility.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Steam.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'MESSENGR.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'RssReader.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WZCSLDR2.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AirGCFG.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '43' Prozesse mit '43' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Masterbootsektor HD2

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Masterbootsektor HD3

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Masterbootsektor HD4

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'I:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '66' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Avenger\Temp\b.exe

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae376.qua' verschoben!

C:\Avenger\Temp\e.exe

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae386.qua' verschoben!

C:\Avenger\Temp\f.exe

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrj

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae38c.qua' verschoben!

C:\Avenger\Temp\OnlineScanner\Anti-Virus\Aquarius\cran.cvd

    [FUND]      Enthält Erkennungsmuster des Trivial-28 (A)-Virus

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba6e402.qua' verschoben!

C:\Avenger\Temp\OnlineScanner\Anti-Virus\Aquarius\cran.ivd

    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c177acb.qua' verschoben!

C:\Avenger\Temp\OnlineScanner\Anti-Virus\Aquarius\jpeg.xmd

    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae40c.qua' verschoben!

C:\Avenger\Temp\OnlineScanner\updates\aquawin32\cran.cvd

    [FUND]      Enthält Erkennungsmuster des Trivial-28 (A)-Virus

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba6e410.qua' verschoben!

C:\Avenger\Temp\OnlineScanner\updates\aquawin32\cran.ivd

    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba6e411.qua' verschoben!

C:\Avenger\Temp\OnlineScanner\updates\aquawin32\jpeg.xmd

    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae42b.qua' verschoben!

C:\Avenger\Temp\plugtmp-2\plugin-

    [0] Archivtyp: PDF Stream

    --> Object

      [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Malicious.PDF.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbae42d.qua' verschoben!

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\c.exe.q_Quarantine_5B5EA202_q

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrj

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae4b3.qua' verschoben!

C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\Sun\Java\jdk1.6.0_11\sd160110.cab

    [0] Archivtyp: CAB (Microsoft)

    --> applets.zip

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

C:\Dokumente und Einstellungen\Christopher\Eigene Dateien\Programmiersoftware\Basic\fgfg.exe

    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bac0544.qua' verschoben!

C:\Programme\brutus-aet2\BrutusA2.exe

    [FUND]      Enthält Erkennungsmuster des SPR/Brutus-Programmes

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbb0939.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156732.exe

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8b.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156733.exe

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89304.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156734.exe

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8c.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156735.exe

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89305.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156736.dll

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8e.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156737.exe

    [FUND]      Ist das Trojanische Pferd TR/Drop.Softomat.AN

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8f.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156738.dll

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c90.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156739.dll

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89319.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156740.dll

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c92.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156741.sys

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd8931b.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156744.exe

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c91.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156759.exe

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd8931a.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156760.dll

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrf

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c93.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157377.sys

    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d88.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157685.exe

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d96.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157686.exe

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d97.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157687.exe

    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrj

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d98.qua' verschoben!

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157688.exe

    [FUND]      Enthält Erkennungsmuster des SPR/Brutus-Programmes

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89211.qua' verschoben!

Beginne mit der Suche in 'I:\'

Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!

Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem.
 
 

Ende des Suchlaufs: Donnerstag, 7. Januar 2010  19:10

Benötigte Zeit:  4:39:20 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  22521 Verzeichnisse wurden überprüft

 1324717 Dateien wurden geprüft

     31 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

     31 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      1 Dateien konnten nicht durchsucht werden

 1324685 Dateien ohne Befall

   7524 Archive wurden durchsucht

      6 Warnungen

     31 Hinweise

  81052 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Ist das normal, dass man 6 mal die svchost.exe in den System-Prozessen hat?

Hi,

ja, ist möglich, die wird für alles mögliche benutz, auch Malware benutzt sie um getarnt ins Internet zu können. Du hast schon selbst versucht mit Avenger was zu bereinigen, oder?

Gefällt mir noch nicht, daher:
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Also irgendwas stimmt DA NICHT!!! Ich habe combofix gestartet. Er ist runtergefahren. Dann ist er aber 50 mal hoch- und runtergefahren. dann habe ich ihn manuell ausgeschlatet. Er konnte aber dann auch nicht mehr hochfahren. Ich konnte nicht mal in den abgesicherten Modus, ich konnte nur die als letzt belannte Konfiguration auswählen. Das System sieht aber so aus wie Win 95 oder so und ich kann kein Gerätemanager oder Netzwerkumgebung wählen.

Was ist da passiert zur Hölle??!!

Was muss ich machen!!

Hi,

da hat sich was tief in Dein System eingegraben und beim Versuch es zu entfernen haben sich die zwei (CF und Malware) wohl ineinander "verbissen".

Boote von der XP-CD und führe eine Reparaturinstallation durch. Programme und Daten sollten dabei erhalten bleiben...

Alternativ kannst Du wie folgt vorgehen:
Systemdateien prüfen:
Öffne eine Commandshell (Start->Ausführen cmd) und schreib rein:
sfc /scannow
Geht das ?

Was sind die Fehlermeldungen die Du beim Aufruf des Gerätemanagers etc. bekommst?

chris

Bim Gerätemanager steht: Auf das Geräääät, Pfad oder Datei konnte nicht zugegriffen werden. Sie verfügen evt. nicht über die Berechtigungen.

So ungefähr. Ich bin gerade auf einen andern PC, weil ja bei mir das INternet nicht geht.

Hi,

das kann alles mögliche sein.
Probiere erst die Systemdateiüberprüfung (den sfc-Scann) und wenn das nichts bringt die Reparaturinstallation.

Hattest Du wie beschrieben die Antivirenlösung beim Scannen ausgeschaltet?

Wir werden wahrscheinlich von aussen mal auf den PC schauen müssen...

Wenn es geht, führe bitte noch mal ein OTL-Log aus....

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris

Als der sfc-scan war fertig, hat aber keine Meldung oder so angezeigt. ISt das gut so? Was kann ich dann machen?

Ich habe auch versucht emeine <<<daten zu sichern, aber ich konnt nix auf mein USB Stick ziehen?

Ich habe auch die XP-Cd eingelegt. Aber dort komme ich nur zu einer Widerherstellungskonsole?! Und habe keine Ahnung, was ich da eingeben muss?

Antivir hatte ich aus.

Ich muss irgendwie meine Daten retten, dann installiere ich XP einfach komplett neu, oder?

Ich sitze halt gerad ean einem anderen PC, da ist das nicht so einach mit OTL. mal schauen.

Hi,

folge den Anweisungen hier:
http://www.supportnet.de/faqsthread/878

Achte darauf, dass der Rechner dabei nicht am Internet hängt, alle Systemupdates etc. müssen nachinstalliert werden...
Und noch was. Manch einer verkauft Rechner mit einer Recoveryversion, die keine Reparaturinstallation zulässt bzw. im schlimmsten Fall gleich das ganze System "bügelt"...

Für den Fall:
Universal Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. Auch zur Datensicherung sind Anwendungen an Board (siehe auch: http://www.ubcd4win.com/contents.htm)!

Tut mir leid, dass CF Dein System abgeschossen hat, das passiert äußerst selten (mir das erstemal), kann aber vorkommen...

chris