wie bekomme ich den weg Trojan-Spy.Banker.CMB?

#1 Ich brauche dringend hilfe!! Habe einen Trojaner; Trojan-Spy.Banker.CMB und bekomme den nicht runter habe schon viele vierenprogramme benutzt aber hat nichts geholfen zu letzt hatte ich den spy-doctor der hat ihn auch gefunden aber will ihn nur entfernen wenn ich die vollwersion runterlade kostet 29€.
wie bekomme ich den weg?

#2 Hallo

poste hier bitte das Log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

dann sehen wir weiter...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 hallo danke erstmal für die antwort.

was soll ich posten bin nicht so gut im umgang mit dem pc

bin laie

#4 Du kannst dich hieran orientieren: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#5 soll ich das posten?


Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.658 [GMT 1:00]
ausgeführt von:: C:\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dl_
C:\WINDOWS\system32\wsnpoem\video.dl_

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-27 bis 2008-01-27 ))))))))))))))))))))))))))))))
.

2008-01-27 13:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-27 11:09 . 2008-01-27 11:09 <DIR> d-------- C:\Programme\Alwil Software
2008-01-27 11:09 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-01-27 11:09 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-26 19:13 . 2008-01-26 19:18 <DIR> d-------- C:\Programme\Spyware Doctor
2008-01-26 19:13 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-26 19:13 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-26 19:13 . 2007-12-10 14:53 41,864 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-26 19:13 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-26 12:55 . 2008-01-26 12:55 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-01-26 12:55 . 2008-01-27 13:13 1,297,440 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-26 12:55 . 2008-01-26 12:55 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-01-26 12:55 . 2008-01-26 12:55 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-01-26 12:55 . 2008-01-27 13:13 27,680 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-26 12:55 . 2008-01-27 11:54 17,564 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-26 12:55 . 2008-01-27 11:54 3,356 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-26 11:06 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-01-26 11:00 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-26 10:53 . 2008-01-26 10:53 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-01-26 10:53 . 2008-01-26 10:53 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-01-25 19:53 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-25 19:53 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-25 19:53 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-25 19:53 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-25 19:53 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-25 19:53 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-25 19:53 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-25 19:53 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-25 19:53 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-25 19:52 . 2008-01-25 19:53 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-01-21 12:06 . 2008-01-21 12:06 <DIR> d-------- C:\WINDOWS\Sun
2008-01-21 09:50 . 2008-01-21 09:50 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-21 09:42 . 2008-01-21 09:50 <DIR> d-------- C:\Programme\MSN Messenger
2008-01-21 09:29 . 2008-01-24 13:20 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-21 09:28 . 2008-01-21 09:40 <DIR> d-------- C:\Programme\ICQ6
2008-01-21 07:42 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-01-20 17:10 . 2008-01-27 13:08 <DIR> d-------- C:\Downloads
2008-01-20 17:10 . 2008-01-20 17:10 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll
2008-01-20 17:09 . 2008-01-20 22:48 <DIR> d-------- C:\Programme\BitComet
2008-01-20 12:59 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-01-20 12:59 . 2001-08-17 13:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-01-20 12:57 . 2008-01-27 10:46 <DIR> d--hs---- C:\WINDOWS\Installer
2008-01-20 12:57 . 2008-01-20 12:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-01-20 12:57 . 2008-01-20 12:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2008-01-20 12:56 . 2008-01-27 11:57 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-01-20 12:55 . 2008-01-20 13:17 <DIR> d-------- C:\Dokumente und Einstellungen

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-21 08:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-20 12:42 --------- d-----w C:\Programme\Java
2008-01-20 12:29 --------- d-----w C:\Programme\Wireless LAN
2008-01-20 12:29 --------- d-----w C:\Programme\ENEKB
2008-01-20 12:28 --------- d-----w C:\Programme\Realtek Sound Manager
2008-01-20 12:28 --------- d-----w C:\Programme\Realtek AC97
2008-01-20 12:28 --------- d-----w C:\Programme\AvRack
2008-01-20 12:27 --------- d-----w C:\Programme\S3
2008-01-20 12:27 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-20 12:19 --------- d--h--w C:\Programme\Uninstall Information
2008-01-20 12:11 --------- d-----w C:\Programme\microsoft frontpage
2008-01-20 12:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-01-20 12:05 --------- d-----w C:\Programme\Online-Dienste
2008-01-20 12:04 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2008-01-20 12:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-20 11:58 9,388 ----a-w C:\WINDOWS\system32\drivers\iaStor.PNF
2008-01-20 11:58 7,280 ----a-w C:\WINDOWS\system32\drivers\viamraid.PNF
2008-01-20 11:58 63,240 ----a-w C:\WINDOWS\system32\drivers\Si3112r.PNF
2008-01-20 11:58 6,984 ----a-w C:\WINDOWS\system32\drivers\SiSRaid.PNF
2008-01-20 11:58 20,152 ----a-w C:\WINDOWS\system32\drivers\INFCACHE.1
2008-01-20 11:58 12,432 ----a-w C:\WINDOWS\system32\drivers\adpu320.PNF
2008-01-20 11:58 12,204 ----a-w C:\WINDOWS\system32\drivers\nvraid.PNF
2008-01-20 11:58 10,828 ----a-w C:\WINDOWS\system32\drivers\iaAHCI.PNF
2007-12-17 23:44 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2007-12-17 23:43 23,396 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2007-12-13 12:28 24,592 ----a-w C:\WINDOWS\system32\drivers\klim5.sys
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"BitComet"="C:\Programme\BitComet\BitComet.exe" [2008-01-08 11:25 2124088]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-09-24 14:00 181496]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"VTTimer"="VTTimer.exe" [2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-11-01 04:15 163840 C:\WINDOWS\system32\VTTrayp.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-06-20 14:42 577536 C:\WINDOWS\soundman.exe]
"SMSERIAL"="sm56hlpr.exe" [2004-12-29 06:01 544768 C:\WINDOWS\sm56hlpr.exe]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-12-18 00:43 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys [2005-04-08 10:43]
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-01-14 11:22]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-27 13:13:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-27 13:14:42
ComboFix-quarantined-files.txt 2008-01-27 12:14:39
.
2008-01-25 20:54:39 --- E O F ---

#6 Hallo

««
poste hier das log vom Hijackthis
http://www.virus-protect.org/hjtkurz.html

««
scanne mit Bitdefender
http://board.protecus.de/t8642.htm

- kopiere dann das log ab (ist eventuell in html, deshalb speichere es als txt-Datei ab) - und dann hier posten (eventuell als Anhang hochladen - siehe unten)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:35, on 27.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\BitComet\BitComet.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Hoffmann\LOKALE~1\Temp\Rar$EX00.453\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deutsch.eazel.com/index.php?rvs=hompag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 5646 bytes
ººººººººººººººººººººººººººººººººººººººººººººººººººº
Und hier BitDefender
Scanned cookies summaryScanned : 0
Infected : 0


Remaining issues:Object Name Threat Name Final Status
C:\WINDOWS\system32\ntos.ex_ Trojan.Spy.Agent.NNK Disinfect Failed


Resolved issues:Object Name Threat Name Final Status

#8 störtebeker

««««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

File::
C:\WINDOWS\system32\ntos.ex_
C:\WINDOWS\system32\ntos.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden - tippe 1

poste das neue log von Combofix

««
eventuell lässt sich die ntos.exe nicht so löschen - wende also gmer an und loesche sie mit dem Tool
http://www.virus-protect.org/artikel/tools/gmer.html

---

dann solltest du allen wichtigen Passworte auf dem System ändern...........
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 ich habe dieses runde combofix symbol nicht habe nur so ein eckiges mit einem rotrn kreuz drin darüber steht File zone und Net zone wenn ich das da raufziehe passiert nichts

#10 «
eckig ??? ich muss es mal wieder laden... - meine ist rund... wirklich komisch

wenn du es draufziehst..passiert nichts, aber wenn (nachdem du die textdatei draufgezogen hast) du dann das Symbol anklickst - und 1 reintippst, müsste es funktionieren

---
ansonsten, mit gmer bekommst du die ntos.ex_ gelöscht !
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 ich habe jetzt das symbol auf dem desktop da drunter steht verknüpfung mit combofix, wenn ich es da draufziehe dann fängt er gleich wieder an das cobofix zu verwenden



das habe ich in den editor kopiert:
Zitat:
KILLALL::

File::
C:\WINDOWS\system32\ntos.ex_
C:\WINDOWS\system32\ntos.exe

ist das richtig?




und hier der neue log !!!
ComboFix 08-01-23.1C - Hoffmann 2008-01-27 21:19:40.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.683 [GMT 1:00]
ausgeführt von:: C:\Downloads\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Hoffmann\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE
C:\WINDOWS\system32\ntos.ex_
C:\WINDOWS\system32\ntos.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-27 bis 2008-01-27 ))))))))))))))))))))))))))))))
.

2008-01-27 21:00 . 2008-01-27 21:21 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-01-27 19:53 . 2008-01-27 21:06 250 --a------ C:\WINDOWS\gmer.ini
2008-01-27 19:24 . 2008-01-27 19:24 <DIR> d-------- C:\Programme\Lavasoft
2008-01-27 19:23 . 2008-01-27 19:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-27 18:17 . 2008-01-27 20:59 121 --a------ C:\WINDOWS\bdagent.INI
2008-01-27 17:56 . 2008-01-27 20:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2008-01-27 13:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-27 11:09 . 2008-01-27 11:09 <DIR> d-------- C:\Programme\Alwil Software
2008-01-27 11:09 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-26 19:13 . 2008-01-27 18:00 <DIR> d-------- C:\Programme\Spyware Doctor
2008-01-26 19:13 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-26 19:13 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-26 19:13 . 2007-12-10 14:53 41,864 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-26 19:13 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-26 12:55 . 2008-01-26 12:55 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-01-25 19:53 . 2007-10-11 00:46 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-25 19:53 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-25 19:53 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-25 19:53 . 2007-10-11 00:46 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-25 19:53 . 2007-10-11 00:46 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-25 19:53 . 2007-10-11 00:46 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-25 19:53 . 2007-10-11 00:46 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-25 19:53 . 2007-10-11 00:46 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-25 19:53 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-25 19:52 . 2008-01-25 19:53 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-01-21 12:06 . 2008-01-21 12:06 <DIR> d-------- C:\WINDOWS\Sun
2008-01-21 09:50 . 2008-01-21 09:50 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-21 09:42 . 2008-01-21 09:50 <DIR> d-------- C:\Programme\MSN Messenger
2008-01-21 09:29 . 2008-01-24 13:20 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-21 09:28 . 2008-01-21 09:40 <DIR> d-------- C:\Programme\ICQ6
2008-01-21 07:42 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-01-20 17:10 . 2008-01-27 19:53 <DIR> d-------- C:\Downloads
2008-01-20 17:10 . 2008-01-20 17:10 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll
2008-01-20 17:09 . 2008-01-20 22:48 <DIR> d-------- C:\Programme\BitComet
2008-01-20 12:59 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-01-20 12:59 . 2001-08-17 13:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-01-20 12:57 . 2008-01-27 21:00 <DIR> d--hs---- C:\WINDOWS\Installer
2008-01-20 12:57 . 2008-01-20 12:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-01-20 12:57 . 2008-01-20 12:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2008-01-20 12:56 . 2008-01-27 20:52 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-01-20 12:55 . 2008-01-20 13:17 <DIR> d-------- C:\Dokumente und Einstellungen

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-21 08:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-20 12:42 --------- d-----w C:\Programme\Java
2008-01-20 12:29 --------- d-----w C:\Programme\Wireless LAN
2008-01-20 12:29 --------- d-----w C:\Programme\ENEKB
2008-01-20 12:28 --------- d-----w C:\Programme\Realtek Sound Manager
2008-01-20 12:28 --------- d-----w C:\Programme\Realtek AC97
2008-01-20 12:28 --------- d-----w C:\Programme\AvRack
2008-01-20 12:27 --------- d-----w C:\Programme\S3
2008-01-20 12:27 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-20 12:19 --------- d--h--w C:\Programme\Uninstall Information
2008-01-20 12:11 --------- d-----w C:\Programme\microsoft frontpage
2008-01-20 12:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-01-20 12:05 --------- d-----w C:\Programme\Online-Dienste
2008-01-20 12:04 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2008-01-20 12:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-20 11:58 9,388 ----a-w C:\WINDOWS\system32\drivers\iaStor.PNF
2008-01-20 11:58 7,280 ----a-w C:\WINDOWS\system32\drivers\viamraid.PNF
2008-01-20 11:58 63,240 ----a-w C:\WINDOWS\system32\drivers\Si3112r.PNF
2008-01-20 11:58 6,984 ----a-w C:\WINDOWS\system32\drivers\SiSRaid.PNF
2008-01-20 11:58 20,152 ----a-w C:\WINDOWS\system32\drivers\INFCACHE.1
2008-01-20 11:58 12,432 ----a-w C:\WINDOWS\system32\drivers\adpu320.PNF
2008-01-20 11:58 12,204 ----a-w C:\WINDOWS\system32\drivers\nvraid.PNF
2008-01-20 11:58 10,828 ----a-w C:\WINDOWS\system32\drivers\iaAHCI.PNF
.

((((((((((((((((((((((((((((( snapshot@2008-01-27_13.13.58,70 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-27 12:10:51 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-27 20:19:32 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-27 12:10:51 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-27 20:19:32 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-27 12:10:51 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-27 20:19:32 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-27 12:10:51 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-27 20:19:32 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-27 12:10:51 2,457,600 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-27 20:19:32 2,486,272 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-27 12:10:51 143,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-27 20:19:33 143,360 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-27 18:53:33 819,200 ----a-w C:\WINDOWS\gmer.dll
+ 2008-01-18 19:31:10 757,760 ----a-w C:\WINDOWS\gmer.exe
+ 2008-01-27 18:24:57 1,038,336 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC.exe
+ 2008-01-27 18:24:57 178,688 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC1.exe
+ 2008-01-27 18:24:57 171,008 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B.exe
+ 2008-01-27 18:24:57 8,704 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B1.exe
+ 2007-07-11 12:37:26 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
+ 2007-08-07 11:58:08 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
+ 2008-01-27 18:53:33 85,713 ----a-w C:\WINDOWS\system32\drivers\gmer.sys
+ 2007-08-07 11:56:58 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
+ 2007-12-14 10:32:52 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
- 2004-08-04 12:00:00 112,128 ----a-w C:\WINDOWS\system32\mapi32.dll
+ 2004-03-31 11:28:00 131,072 ----a-w C:\WINDOWS\system32\mapi32.dll
+ 2002-01-05 01:48:16 974,848 ----a-w C:\WINDOWS\system32\mfc70.dll
+ 2002-01-05 01:36:38 964,608 ----a-w C:\WINDOWS\system32\mfc70u.dll
- 2003-03-18 20:20:00 1,060,864 ----a-w C:\WINDOWS\system32\MFC71.dll
+ 2003-03-18 19:20:00 1,060,864 ----a-w C:\WINDOWS\system32\mfc71.dll
+ 2003-03-18 19:12:12 1,047,552 ----a-w C:\WINDOWS\system32\mfc71u.dll
+ 2002-01-05 01:38:38 54,784 ----a-w C:\WINDOWS\system32\msvci70.dll
+ 2002-01-05 01:40:20 487,424 ----a-w C:\WINDOWS\system32\msvcp70.dll
- 2008-01-26 09:53:22 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
+ 2003-03-18 18:14:52 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
+ 2002-01-05 00:37:28 344,064 ----a-w C:\WINDOWS\system32\msvcr70.dll
- 2008-01-26 09:53:22 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
+ 2003-02-21 02:42:22 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitComet"="C:\Programme\BitComet\BitComet.exe" [2008-01-08 11:25 2124088]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys [2005-04-08 10:43]
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-01-14 11:22]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-27 21:22:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-27 21:23:39 - machine was rebooted [Hoffmann]
ComboFix-quarantined-files.txt 2008-01-27 20:23:30
ComboFix2.txt 2008-01-27 12:39:23
ComboFix3.txt 2008-01-27 12:14:43
.
2008-01-25 20:54:39 --- E O F ---

#12 ««
nun gibt es zwei Möglichkeiten, um zu sehen, ob die ex_ wirklich entfernt wurde:

1)
du scannst noch mal mit Bitdefender
2.)
du schaust im gmer nach....

(ich hoffe, du hast "Zitat" nicht mit in das Script kopiert.... )
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/