brauch ganz dringend hilfe

  • geschlossen
  • Problem

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • brauch ganz dringend hilfe

    hey ...

    also ich hab seit dem 11ten mehrere viren auf meinem pc. durch antivir konnt ich 3 löschen un jetzt hab ich immer noch 2 auf meim pc... un die lassen sich auch n ich löschen. immer wenn ich meinen pc neu gestartet habe kamen immer wieder warnmeldungen von antivir, dass ich trojaner (C:\WINDOWS\ststem32\fccaArqq.dll , C:\WINDOWS\system32\opnOFWMc.dll) auf dem pc habe. also durch antivir konnt man die nicht löschen oder in quarantäne stecken... da die meldungen auch immer wieder kamen, konnt ich schon nix mehr mit meinem pc machen. deswegen musst ich antivir denn erstma löschen.
    jetzt hab ich schon ganz viele sachen ausprobiert, um diese viren wegzu kriegen aber nix hilft. auch die systemwiederherstellung nich, da keine wiederherstellungspunkte gestzt wurden oO... hatte auch schon seit tagen warnungen von meiner firewall, dass keine automatischen updates gemacht werden konnten. und als ich auf aktiviren gedrückt habe, kam eine meldung, dass das nicht geht.
    nun hab ich auch noch prbleme mit meinem i-net. seit ich die viren auf meinem pc habe, kann ich nicht mehr auf meine myspace seite oder bei goggle was goggeln oO..

    ich hoffe jemand kann mir weiter helfen

    mfg :)
  • Dann schau mal was alles so gestartet wird wenn Du hochfährst.

    Geh auf Start und dann ausführen.
    Gib dort msconfig ein.
    In der Konsole auf den Reiter Systemstart

    Vielleicht ist da was, was nicht da sein sollte.

    Mach dann vorne das Häckchen weg und starte neu.

    Wenn es das richtige war müsstest Du die Dateien löschen können.

    Floyd
  • also die häckchen bei den dateien hatt ich letztens auch schon weg gemacht... konnt die dann später bnachm neustart auch "löschen" nur als ich dann wieder normal gestartet hab, gingen die ganzen warnmeldungen von antivir wieder los.. und die dateien warn wieder da oO

    ich habs auch schon mit diesem programm unlocker probier... die viren / dateien sollten nach dem löschen und neustart gelöscht sein.. nur wars halt nicht so.. war alles wie vorher.

    mfg
  • Es gibt folgende möglichkeit: Lade dir das Antivirenprogramm Avas 4.8 kostenlos runter. Nach der Installation fragt dich das Programm ob du beim Neustart des Systems einen kompletten Systemcheck nach Viren machen willst noch vor Dem Starten von Windows.Da klickt du ja und Startest neu. Da erhöht schonmal die Warscheinlickeit das alle Viren gelöscht werden. Habe mit diesem Programm selber gute Erfahrungen gemacht, und das nicht nur wegen dem guten Festplatten und Virencheck sondern auchmit dem residenten Scanner
  • karschter schrieb:

    ich würde es mit spybot versuchen findet fast alles und löscht eigentlich alles

    Enki schrieb:

    Es gibt folgende möglichkeit: Lade dir das Antivirenprogramm Avas 4.8 kostenlos runter.

    An euch beide: Eure Ratschläge sind sicher gut gemeint, nützen aber überhaupt nichts! Spybot findet längst nicht alles, und auch Avast ist nicht perfekt!
    Ausserdem würde noch mehr Schutzsoftware die Situation evt. noch verschlimmern!

    Also:

    und @Ineedhelp!2nd empfiehlt SmitfraudFix

    Ich hatte das doch gepostet? Wo ist mein Post hin? :P

    @PinkFreak:

    Quellcode

    1. C:\WINDOWS\ststem32\fccaArqq.dll , C:\WINDOWS\system32\opnOFWMc.dll

    Bitte diese beiden Dateien auf Virustotal (VirusTotal - Kostenloser online Viren- und Malwarescanner) hochladen, so stellst du sicher, dass die Files auch an AV-Hersteller gesendet werden und wir bekommen einen Überblick!

    So, nachdem das gemacht ist, bitte Smitfraudfix ausführen, lasse es jedoch nur Scannen!

    Anwendung:
    • Doppelklick auf die SmitfraudFix.exe
    • Wähle die 1 und drücke auf Enter um einen Bericht der infizierten Dateien zu bekommen. Dieser Bericht wird üblicherweise auf der Festplatte gefunden, als C:\rapport.txt


    Bitte diese rapport.txt posten! (Wenn zu gross, auf einen Hoster hochladen und Link posten)

    Danach sehen wir weiter!

    Mfg
  • also erstm danke an alle die mir versuen zu helfen :D

    un wegen dem:

    Ineedhelp!2nd schrieb:



    So, nachdem das gemacht ist, bitte Smitfraudfix ausführen, lasse es jedoch nur Scannen!


    Bitte diese rapport.txt posten! (Wenn zu gross, auf einen Hoster hochladen und Link posten)

    Danach sehen wir weiter!

    Mfg


    hab ich alles gemacht... :
    _____




    SmitFraudFix v2.328

    Scan done at 19:16:19,90, 19.06.2008
    Run from C:\Dokumente und Einstellungen\EbruT\Desktop\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\VTtrayp.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\Programme\Unlocker\UnlockerAssistant.exe
    C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\WINDOWS\vsnpstd2.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\VIAudioi\SBADeck\ADeck.exe
    C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Dokumente und Einstellungen\EbruT\Desktop\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\EbruT


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\EbruT\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\EbruT\FAVORI~1


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="http://eur.i1.yimg.com/eur.yimg.com/i/eu/mu/p/450pi3.jpg"
    "SubscribedURL"="http://eur.i1.yimg.com/eur.yimg.com/i/eu/mu/p/450pi3.jpg"
    "FriendlyName"=""

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Die derzeitige Homepage"

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, following keys are not inevitably infected!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, following keys are not inevitably infected!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, following keys are not inevitably infected!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Rustock



    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: VIA Rhine II Fast Ethernet Adapter - Paketplaner-Miniport
    DNS Server Search Order: 192.168.2.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{A3B16C8D-A0C3-4FCE-9A6F-8A6BD5B28041}: DhcpNameServer=192.168.2.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{A3B16C8D-A0C3-4FCE-9A6F-8A6BD5B28041}: DhcpNameServer=192.168.2.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


    »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


    »»»»»»»»»»»»»»»»»»»»»»»» End



    un das mit Virustotal hab ich auch gemacht.. soll ich das auch hier posten?


    mfg :)
  • PinkFreak schrieb:

    un das mit Virustotal hab ich auch gemacht.. soll ich das auch hier posten

    Ja, oder poste die Links dazu!

    Gut, es sieht gar nicht schlecht aus! :)
    Bitte nun folgendes mit Smitfraudfix machen:
    Reinigung:
    • Starte deinen Rechner in den abgesicherten Modus neu auf (bevor das Windows Bild erscheint, die F8 Taste eindrücken, immer wieder F8 drücken)
    • Mach einen Doppelklick auf SmitfraudFix.exe
    • Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen
    • Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter um das Desktop Bild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.
    • Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Du wirst möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter um eine saubere Datei zu bekommen.
    • Du solltest deinen Rechner nun neu aufstarten, um den Reinigungsprozess zu beenden. Das Logfile findest du auf deiner Festplatte, normalerweise als C:\rapport.txt



    Wieder den Rapport posten!

    Bitte den ATF-Cleaner downloaden und die temporären Dateien löschen lassen! (Select All wählen)


    Sobald die VT-Logs hier sind, gehts weiter! ;)

    Mfg
  • hatte heut auch sowas ähnliches (lies sich nicht mal im abgesicherten modus löschen)dann hab ich die datei einfach auf auf amok gezogen pc neu gestartet und weg war der trojaner .AmoK.DelayDel.v1.2-Setup
    so heist das teil vielleichtt kannst dus ja googeln
  • Girr schrieb:

    hatte heut auch sowas ähnliches (lies sich nicht mal im abgesicherten modus löschen)dann hab ich die datei einfach auf auf amok gezogen pc neu gestartet und weg war der trojaner

    Allgemein mit solchen Lösch-Tools bitte sehr vorsichtig umgehen!
    Da klickt man irgendwo was falsches und nichts geht mehr!

    Ich kenne das obengenannte Programm nicht, jedoch finde ich Avenger ein sehr gutes Programm! Schnell, gründlich und sicher(er).
    Ausserdem wird auch automatisch nach Rootkits gesucht!

    Mfg
  • Ineedhelp!2nd schrieb:

    Ja, oder poste die Links dazu!

    Gut, es sieht gar nicht schlecht aus! :)
    Bitte nun folgendes mit Smitfraudfix machen:


    Wieder den Rapport posten!

    Bitte den ATF-Cleaner downloaden und die temporären Dateien löschen lassen! (Select All wählen)


    Sobald die VT-Logs hier sind, gehts weiter! ;)

    Mfg



    so oke hab das jetzt alles gemacht.nur gefragt wurd ich nicht, ob die infizierte datei entfernt werden soll.

    also hier der rapport:



    SmitFraudFix v2.328

    Scan done at 19:01:31,89, 20.06.2008
    Run from C:\Dokumente und Einstellungen\EbruT\Desktop\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in safe mode

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Killing process


    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    127.0.0.1 localhost
    127.0.0.1 localhost
    127.0.0.1 bin.errorprotector.com ## added by CiD
    127.0.0.1 br.errorsafe.com ## added by CiD
    127.0.0.1 br.winantivirus.com ## added by CiD
    127.0.0.1 br.winfixer.com ## added by CiD
    127.0.0.1 cdn.drivecleaner.com ## added by CiD
    127.0.0.1 cdn.errorsafe.com ## added by CiD
    127.0.0.1 cdn.winsoftware.com ## added by CiD
    127.0.0.1 de.errorsafe.com ## added by CiD
    127.0.0.1 de.winantivirus.com ## added by CiD
    127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
    127.0.0.1 download.cdn.errorsafe.com ## added by CiD
    127.0.0.1 download.cdn.winsoftware.com ## added by CiD
    127.0.0.1 download.errorsafe.com ## added by CiD
    127.0.0.1 download.systemdoctor.com ## added by CiD
    127.0.0.1 download.winantispyware.com ## added by CiD
    127.0.0.1 download.windrivecleaner.com ## added by CiD
    127.0.0.1 download.winfixer.com ## added by CiD
    127.0.0.1 drivecleaner.com ## added by CiD
    127.0.0.1 dynamique.drivecleaner.com ## added by CiD
    127.0.0.1 errorprotector.com ## added by CiD
    127.0.0.1 errorsafe.com ## added by CiD
    127.0.0.1 es.winantivirus.com ## added by CiD
    127.0.0.1 fr.winantivirus.com ## added by CiD
    127.0.0.1 fr.winfixer.com ## added by CiD
    127.0.0.1 go.drivecleaner.com ## added by CiD
    127.0.0.1 go.errorsafe.com ## added by CiD
    127.0.0.1 go.winantispyware.com ## added by CiD
    127.0.0.1 go.winantivirus.com ## added by CiD
    127.0.0.1 hk.winantivirus.com ## added by CiD
    127.0.0.1 instlog.errorsafe.com ## added by CiD
    127.0.0.1 instlog.winantivirus.com ## added by CiD
    127.0.0.1 instlog.winfixer.com ## added by CiD
    127.0.0.1 jsp.drivecleaner.com ## added by CiD
    127.0.0.1 kb.errorsafe.com ## added by CiD
    127.0.0.1 kb.winantivirus.com ## added by CiD
    127.0.0.1 nl.errorsafe.com ## added by CiD
    127.0.0.1 se.errorsafe.com ## added by CiD
    127.0.0.1 secure.drivecleaner.com ## added by CiD
    127.0.0.1 secure.errorsafe.com ## added by CiD
    127.0.0.1 secure.winantispam.com ## added by CiD
    127.0.0.1 secure.winantispy.com ## added by CiD
    127.0.0.1 secure.winantivirus.com ## added by CiD
    127.0.0.1 support.winantivirus.com ## added by CiD
    127.0.0.1 trial.updates.winsoftware.com ## added by CiD
    127.0.0.1 ulog.winantivirus.com ## added by CiD
    127.0.0.1 utils.errorsafe.com ## added by CiD
    127.0.0.1 utils.winantivirus.com ## added by CiD
    127.0.0.1 utils.winfixer.com ## added by CiD
    127.0.0.1 winantispyware.com ## added by CiD
    127.0.0.1 winantivirus.com ## added by CiD
    127.0.0.1 winfixer.com ## added by CiD
    127.0.0.1 winfixer2006.com ## added by CiD
    127.0.0.1 winsoftware.com ## added by CiD
    127.0.0.1 DriveCleaner - Home ## added by CiD
    127.0.0.1 ErrorProtector - Fix damaged documents, video, music, images. Registry optimization ## added by CiD
    127.0.0.1 ErrorSafe - Fix computer problem. Fix slow computer, corrupt file and hard drive errors. ## added by CiD
    127.0.0.1 SystemDoctor - Fix damaged documents, video, music, images. Registry optimization ## added by CiD
    127.0.0.1 utils.winfixer.com ## added by CiD
    127.0.0.1 win-anti-virus-pro.com ## added by CiD
    127.0.0.1 win-virus-pro.com ## added by CiD
    127.0.0.1 WinAntiSpam - ## added by CiD
    127.0.0.1 WinAntiSpyware - spyware protection. Remove spyware, adware and trojans. ## added by CiD
    127.0.0.1 WinAntiSpyware - spyware protection. Remove spyware, adware and trojans. ## added by CiD
    127.0.0.1 WinAntiVirus Pro 2007 - Antivirus protection against all viruses, hackers, spyware ## added by CiD
    127.0.0.1 WinAntiVirus Pro 2007 - Antivirus protection against all viruses, hackers, spyware ## added by CiD
    127.0.0.1 WinDriveCleaner - ## added by CiD
    127.0.0.1 windrivesafe.com ## added by CiD
    127.0.0.1 winfixer.com ## added by CiD
    127.0.0.1 toner druckertinte web hosting computer at winfixer2006.com ## added by CiD
    127.0.0.1 WinSoftware ## added by CiD

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.


    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{A3B16C8D-A0C3-4FCE-9A6F-8A6BD5B28041}: DhcpNameServer=192.168.2.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{A3B16C8D-A0C3-4FCE-9A6F-8A6BD5B28041}: DhcpNameServer=192.168.2.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{A3B16C8D-A0C3-4FCE-9A6F-8A6BD5B28041}: DhcpNameServer=192.168.2.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


    »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

    Registry Cleaning done.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» End




    so und hier die 2 Links^^

    Virustotal. MD5: db0ec68bf73710c05c06cbbe30a2f9d6 a variant of Win32/Adware.Virtumonde Trojan:Win32/Vundo.gen!M Win-AppCare/Virtumod.321536

    Virustotal. MD5: d88afa5a154d9531f29f80af8271a2a3 Vundo.gen179 Win32/Adware.Virtumonde Trojan:Win32/Vundo.gen!C


    un das mit dem ATF Cleaner hab ich auch durchführt.


    oke hab ich was vergessen zu posten?! ich hoff mal nicht.

    :)
    mfg


    oh.. ich merk grad.. mein myspace un google und sowas geht jetzt wieder... hat schonmal etwas gebracht.. danke danke :D:D
  • PinkFreak schrieb:

    so oke hab das jetzt alles gemacht.nur gefragt wurd ich nicht, ob die infizierte datei entfernt werden soll.
    [...]
    oh.. ich merk grad.. mein myspace un google und sowas geht jetzt wieder... hat schonmal etwas gebracht.. danke danke :D:D

    Das liegt daran, dass sie nicht infiziert war! :)
    Du hattest ganz schön viel Müll in deiner Hosts-Datei...
    Aber das hat sich nun erledigt!

    Jetzt Bitte folgendes machen:
    Lade dir das Tool Avenger un speichere es in einen separaten Ordner.
    Avenger starten und bei "Input script here" folgendes reinkopieren:

    Quellcode

    1. Files to delete:
    2. C:\WINDOWS\system32\opnOFWMc.dll
    3. C:\WINDOWS\ststem32\fccaArqq.dll


    Das sollte dann so aussehen:

    Kein Haken bei "Automatically disable any rootkits found"!

    • Schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

    • Klicke: Execute

    • Bestätige, dass der Rechner neu gestartet wird - klicke "yes".

    • Nach dem Neustart erscheint automatisch ein Log vom Avenger (C:\avenger.txt), poste dieses Log!


    Dann lade dir Bitte Malwarebytes Antimalware.
    Installiere es, wähle Sprache Deutsch und führe ein Update der Datenbanken durch. Danach mache im Haputmenu einen "Komplettscan"
    Den Log posten!

    Mfg
  • Log von Avenger:


    Logfile of The Avenger Version 2.0, (c) by Swandog46
    Swandog46's Public Anti-Malware Tools

    Platform: Windows XP

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    File "C:\WINDOWS\system32\opnOFWMc.dll" deleted successfully.
    File "C:\WINDOWS\system32\fccaArqq.dll" deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.






    Log von Malwarebytes Antimalware:


    Malwarebytes' Anti-Malware 1.18
    Datenbank Version: 872

    22:43:43 20.06.2008
    mbam-log-6-20-2008 (22-43-32).txt

    Scan Art: Komplett Scan (C:\|)
    Objekte gescannt: 136123
    Scan Dauer: 46 minute(s), 54 second(s)

    Infizierte Speicher Prozesse: 0
    Infizierte Speicher Module: 1
    Infizierte Registrierungsschlüssel: 5
    Infizierte Registrierungswerte: 5
    Infizierte Datei Objekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 13

    Infizierte Speicher Prozesse:
    (Keine Malware Objekte gefunden)

    Infizierte Speicher Module:
    C:\WINDOWS\system32\ijbtdxgl.dll (Trojan.Vundo) -> No action taken.

    Infizierte Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

    Infizierte Registrierungswerte:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5473da3f (Trojan.Vundo) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\Home Page (Malware.Trace) -> No action taken.

    Infizierte Datei Objekte der Registrierung:
    (Keine Malware Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine Malware Objekte gefunden)

    Infizierte Dateien:
    C:\WINDOWS\system32\bkymvjeh.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\hejvmykb.ini (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\ijbtdxgl.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\lgxdtbji.ini (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\lvhynxqi.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\iqxnyhvl.ini (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\rhydxbgo.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\ogbxdyhr.ini (Trojan.Vundo) -> No action taken.
    C:\Dokumente und Einstellungen\EbruT\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> No action taken.
    C:\System Volume Information\_restore{AECA51FB-86E0-45DD-A0F2-F8130F7B2924}\RP1\A0000239.dll (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{AECA51FB-86E0-45DD-A0F2-F8130F7B2924}\RP3\A0000452.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.



    mfg :)
  • PinkFreak schrieb:


    Infizierte Speicher Prozesse: 0
    Infizierte Speicher Module: 1
    Infizierte Registrierungsschlüssel: 5
    Infizierte Registrierungswerte: 5
    Infizierte Datei Objekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 13

    Gut, mache noch einen Scan mit Malwarebytes und lasse alles löschen!
    Wende dann Combofix an!
    Poste die Combofix.txt

    Mfg
  • Ineedhelp!2nd schrieb:

    Gut, mache noch einen Scan mit Malwarebytes und lasse alles löschen!
    Wende dann Combofix an!
    Poste die Combofix.txt

    Mfg






    ComboFix 08-06-20.4 - EbruT 2008-06-21 17:34:30.1 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.55 [GMT 2:00]
    ausgeführt von:: C:\Dokumente und Einstellungen\EbruT\Desktop\ComboFix.exe
    * Neuer Wiederherstellungspunkt wurde erstellt

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    (((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\BM5740e9a3.xml
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\cMWFOnpo.ini
    C:\WINDOWS\system32\cMWFOnpo.ini2
    C:\WINDOWS\system32\dclvpmlk.dll
    C:\WINDOWS\system32\feugjiey.dll
    C:\WINDOWS\system32\ikntgbur.ini
    C:\WINDOWS\system32\iktbcxbq.dll
    C:\WINDOWS\system32\kqlctlus.ini
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\MSINET.oca
    C:\WINDOWS\system32\qfxcwbtp.dll
    C:\WINDOWS\system32\qhrkyvfi.ini
    C:\WINDOWS\system32\umaaipvh.dll
    C:\WINDOWS\system32\vsjccqiu.dll
    C:\WINDOWS\system32\xjabwpfm.dll
    C:\WINDOWS\system32\yqfodbes.dll

    .
    ((((((((((((((((((((((( Dateien erstellt von 2008-05-21 bis 2008-06-21 ))))))))))))))))))))))))))))))
    .

    2008-06-20 21:29 . 2008-06-20 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\EbruT\Anwendungsdaten\Malwarebytes
    2008-06-20 21:28 . 2008-06-20 21:29 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
    2008-06-20 21:28 . 2008-06-20 21:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
    2008-06-20 21:28 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-06-20 21:28 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-06-20 18:47 . 2008-06-20 18:47 99,328 --a------ C:\WINDOWS\system32\yntxrceh.dll
    2008-06-20 18:44 . 2008-06-20 18:44 90,624 --a------ C:\WINDOWS\system32\paiwhpjk.dll
    2008-06-19 19:16 . 2008-06-20 19:01 3,642 --a------ C:\WINDOWS\system32\tmp.reg
    2008-06-19 19:15 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2008-06-19 19:15 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2008-06-19 19:15 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
    2008-06-19 19:15 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
    2008-06-19 19:15 . 2008-06-15 15:28 81,920 --a------ C:\WINDOWS\system32\IEDFix.C.exe
    2008-06-19 19:15 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
    2008-06-19 19:15 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2008-06-19 19:15 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2008-06-19 19:15 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2008-06-19 18:51 . 2008-06-20 18:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
    2008-06-19 18:36 . 2008-06-19 18:36 98,816 --a------ C:\WINDOWS\system32\wgiwxfwj.dll
    2008-06-19 18:31 . 2008-06-19 18:31 90,112 --a------ C:\WINDOWS\system32\nfwgoode.dll
    2008-06-17 21:50 . 2008-06-17 21:50 <DIR> d-------- C:\Programme\Trend Micro
    2008-06-16 20:31 . 2008-06-16 20:31 268 --ah----- C:\sqmdata10.sqm
    2008-06-16 20:31 . 2008-06-16 20:31 244 --ah----- C:\sqmnoopt10.sqm
    2008-06-15 20:17 . 2008-06-15 20:38 <DIR> d-------- C:\Programme\Unlocker
    2008-06-15 20:17 . 2008-06-21 17:22 <DIR> d-------- C:\Dokumente und Einstellungen\EbruT\Anwendungsdaten\Desktopicon
    2008-06-15 16:33 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
    2008-06-15 16:32 . 2008-06-15 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\EbruT\Anwendungsdaten\TuneUp Software
    2008-06-15 16:32 . 2008-06-15 16:33 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
    2008-06-15 16:31 . 2008-06-15 16:31 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
    2008-06-15 16:31 . 2008-06-15 16:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
    2008-06-15 16:25 . 2008-06-15 16:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
    2008-06-15 15:01 . 2008-06-21 17:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-06-15 15:01 . 2008-06-15 15:01 1,409 --a------ C:\WINDOWS\QTFont.for
    2008-06-14 18:43 . 2008-06-14 18:46 <DIR> d-------- C:\Programme\RegCleaner
    2008-06-12 21:27 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
    2008-06-12 21:27 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
    2008-05-30 23:44 . 2008-05-30 23:44 268 --ah----- C:\sqmdata09.sqm
    2008-05-30 23:44 . 2008-05-30 23:44 244 --ah----- C:\sqmnoopt09.sqm

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-17 18:15 --------- d-----w C:\Programme\Spybot - Search & Destroy
    2008-06-17 18:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
    2008-06-16 16:24 --------- d-----w C:\Programme\Incomplete
    2008-06-16 16:19 --------- d-----w C:\Programme\FrostWire
    2008-06-14 17:53 --------- d-----w C:\Programme\a-squared Free
    2008-06-13 19:20 --------- d-----w C:\Dokumente und Einstellungen\EbruT\Anwendungsdaten\moremedialive
    2008-05-25 11:07 --------- d-----w C:\Programme\Lx_cats
    2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
    2008-05-04 15:02 --------- d-----w C:\Dokumente und Einstellungen\EbruT\Anwendungsdaten\FrostWire
    2008-04-27 19:02 --------- d-----w C:\Programme\Cool YouTube Downloader
    2007-03-28 11:32 8 --sh--r C:\WINDOWS\system32\98FD6DF06F.sys
    2007-03-09 08:12 27,648 --sha-w C:\WINDOWS\system32\AVSredirect.dll
    2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
    2007-03-28 11:33 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
    2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
    .

    (((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62828981-3ff9-42cf-b754-a0ab7996574f}]
    2008-06-20 18:47 99328 --a------ C:\WINDOWS\system32\yntxrceh.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{78D0D047-4845-4ABA-A686-8FEFF06FF292}]
    C:\WINDOWS\system32\opnOFWMc.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-06-07 14:08 4670968]
    "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
    "T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2006-10-04 23:00 647220]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "VTTrayp"="VTtrayp.exe" [2005-08-03 15:32 163840 C:\WINDOWS\system32\VTTrayp.exe]
    "VTTimer"="VTTimer.exe" [2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe]
    "UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 06:15 15872]
    "ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2006-10-13 15:27 282624]
    "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06 487424]
    "SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 17:37 286720]
    "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-10-19 21:16 286720]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
    "LXCFCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-04-27 16:20 69632]
    "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-02 19:36 267048]
    "Flag Owns Live Grim"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Software rule flag owns\roam for.exe" [2008-06-21 17:55 5285376]
    "AudioDeck"="C:\Programme\VIAudioi\SBADeck\ADeck.exe" [2005-09-06 11:10 450560]
    "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
    "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccaArqq]
    fccaArqq.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.I420"= i420vfw.dll
    "vidc.iv41"= ir41_32.dll
    "msacm.iac2"= C:\PROGRA~2\REPLAY~1\iac25_32.ax
    "vidc.yv12"= yv12vfw.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\T-Online_Software_6\WLAN-Access Finder]
    --a------ 2006-10-04 23:00 647220 C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "5473da3f"=rundll32.exe "C:\WINDOWS\system32\bkymvjeh.dll",b
    "BM5740e9a3"=Rundll32.exe "C:\WINDOWS\system32\vsjccqiu.dll",s

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\WINDOWS\\system32\\lxcfcoms.exe"=
    "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
    "C:\\Programme\\Messenger\\Msmsgs.exe"=
    "C:\\Programme\\Mozilla Firefox\\firefox.exe"=
    "C:\\Programme\\FrostWire\\FrostWire.exe"=
    "C:\\Programme\\ICQ6\\ICQ.exe"=
    "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Programme\\iTunes\\iTunes.exe"=
    "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

    R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2006-10-04 22:36]
    R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 10:14]
    S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
    S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 16:03]
    S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]
    S3 se44bus;Sony Ericsson Device 068 driver (WDM);C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 15:58]
    S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 14:58]
    S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 14:58]
    S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 14:58]
    S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS);C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 14:58]
    S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 14:58]
    S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM);C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 14:58]
    S3 snpstd2;Trust WB-3400T Webcam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-10-14 18:12]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    .
    Inhalt des "geplante Tasks" Ordners
    "2008-06-21 15:41:36 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
    - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
    "2007-11-20 13:07:21 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Programme\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, gmer.net
    Rootkit scan 2008-06-21 17:43:15
    Windows 5.1.2600 Service Pack 2 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostart Eintr„ge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    **************************************************************************

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
    C:\PROGRA~1\Yahoo!\MESSEN~1\Ymsgr_tray.exe
    C:\Programme\iPod\bin\iPodService.exe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2008-06-21 17:58:34 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-06-21 15:58:30

    24 Verzeichnis(se), 43,835,863,040 Bytes frei
    25 Verzeichnis(se), 43,753,840,640 Bytes frei

    199 --- E O F --- 2008-06-13 15:50:41




    mfg :)
  • PinkFreak schrieb:


    C:\WINDOWS\BM5740e9a3.xml
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\cMWFOnpo.ini
    C:\WINDOWS\system32\cMWFOnpo.ini2
    C:\WINDOWS\system32\dclvpmlk.dll
    C:\WINDOWS\system32\feugjiey.dll
    C:\WINDOWS\system32\ikntgbur.ini
    C:\WINDOWS\system32\iktbcxbq.dll
    C:\WINDOWS\system32\kqlctlus.ini
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\MSINET.oca
    C:\WINDOWS\system32\qfxcwbtp.dll
    C:\WINDOWS\system32\qhrkyvfi.ini
    C:\WINDOWS\system32\umaaipvh.dll
    C:\WINDOWS\system32\vsjccqiu.dll
    C:\WINDOWS\system32\xjabwpfm.dll
    C:\WINDOWS\system32\yqfodbes.dll


    Gut, das war der Vundo!

    Bitte Combofix entfernen:
    Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"


    Lade dir den CCleaner und lasse damit die Registry bereinigen (mehrmals). Lösche auch die temporären Dateien!

    Lade dir abschliessend noch Vundofix und arbeite diese Anleitung ab:

    * Doppelklick VundoFix.exe
    * Klicke "Scan" --> Vundo button.
    * Nach dem Scannen, klicke den "Remove" Vundo button.
    * Man wird nun gefragt, ob man "remove" will --> klicke YES
    * Danach werden alle Desktop-Symbole verschwinden
    * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

    C:\VundoFix Backups - löschen + Papierkorb leeren


    Wie sieht es aus?
    Bestehen die Probleme noch?
    Das meiste sollte nun weg sein! :)

    Mfg
  • :) ne also jetzt nach deinen ganzen tipps usw läuft wieder alles super und ich hab keine probleme :D
    daaaaaaaaaanke
    :D

    LG

    ach ja.. und wegen dem remove vundo... reichts auch, wenn ich das einfach lösche? weil bei meiner version is da kein remove button
  • PinkFreak schrieb:

    :) ne also jetzt nach deinen ganzen tipps usw läuft wieder alles super und ich hab keine probleme :D

    Schön, das zu hören! :)

    ach ja.. und wegen dem remove vundo... reichts auch, wenn ich das einfach lösche? weil bei meiner version is da kein remove button

    Ich denke, das hat sich erledigt, Vundofix war ja sowieso schon in Combofix integriert!
    Wollte nur sehen, ob was übrig geblieben ist. Scheint ja nicht der Fall zu sein.

    Du kannst nun nochmal mit dem (bereits installierten) CCleaner die Registry und die temporären Dateien bereinigen, wenn du willst!

    Was ich abschliessend noch empfehlen würde, ist, die Systemwiederherstellung (SWH) zu deaktivieren und wieder zu aktivieren:

    Das geschieht in folgenden Schritten. [Quelle]
    • rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen.
    • Systemwiederherstellung wählen und Systemwiederherstellung auf allen Laufwerken deaktivieren wählen.


    • Diesen Vorgang mit OK bestätigen.


    • Anschliessend den Computer neustarten, und die Systemwiederherstellung auf gleiche Weise auf allen Laufwerken wieder aktivieren. So werden alle bisherigen SWH-Punkte gelöscht und somit auch der Vundo, der sich eventuell noch darin versteckte!



    Das wars! ;)

    Mfg

    //EDIT:
    @Mods:
    Könntet ihr bitte die Links zu den Spywaresites in Beitrag #16 unschädlich machen!
    Danke!