Trojaner Vapsup

#1 hallo zusammen,

hab leider probleme mit einem/mehreren? trojanern. beim scan mit antivir wurde dies gefunden:

1.Scan:
C:\Dokumente und Einstellungen\Silvo Kuschej\Lokale Einstellungen\Temporary Internet Files\Content.IE5\11TPFQFG\favicon[1].ico
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48debca9.qua' verschoben!
C:\Dokumente und Einstellungen\Silvo Kuschej\Lokale Einstellungen\Temporary Internet Files\Content.IE5\11TPFQFG\MediaTubeCodec_ver1.1081.0[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Z.HJU.61440
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ccbcb7.qua' verschoben!
C:\Dokumente und Einstellungen\Silvo Kuschej\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZSDNAPS3\WebSoftCodecDrivern[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.jui.302443
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48cabe10.qua' verschoben!
C:\WINDOWS\etgv.exe
[FUND] Ist das Trojanische Pferd TR/Vapsup.hdq.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48cfbf9e.qua' verschoben!
C:\WINDOWS\qegbdmwf.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.KLI.200704
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48cfbf93.qua' verschoben!
C:\WINDOWS\tovafrnm.exe
[FUND] Ist das Trojanische Pferd TR/Vapsup.hdq

2.Scan
C:\System Volume Information\_restore{56502BD4-F0DB-4FDE-BDC5-1BA7A9FC25C5}\RP399\A0046832.exe
[FUND] Ist das Trojanische Pferd TR/Vapsup.hdq.1
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{56502BD4-F0DB-4FDE-BDC5-1BA7A9FC25C5}\RP399\A0046833.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.KLI.200704
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{56502BD4-F0DB-4FDE-BDC5-1BA7A9FC25C5}\RP399\A0046834.exe
[FUND] Ist das Trojanische Pferd TR/Vapsup.hdq
[HINWEIS] Die Datei wurde gelöscht.

Inzwischen findet er nichts mehr, es funktioniert schon wieder mehrer Dinge wie Task Manager und Festplatte wird wieder angezeigt aber habe keine Adminrechte, manchmal werden Ordner nicht mehr angezeigt und ich kann oftmals nicht speichern.

Hier mal der Bericht:
ComboFix 08-06-20.4 - Silvo Kuschej 2008-06-30 17:35:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.704 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Silvo Kuschej\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Silvo Kuschej\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Silvo Kuschej\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Silvo Kuschej\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\system32\FTPx.dll
C:\WINDOWS\system32\MabryObj.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 ))))))))))))))))))))))))))))))
.

2008-06-30 13:42 . 2008-06-30 13:42 176 --a------ C:\WINDOWS\wininit.ini
2008-06-26 10:55 . 2008-06-26 06:57 245,760 --a------ C:\WINDOWS\gfetqaxstgm.dll
2008-06-26 10:55 . 2008-06-26 06:57 229,376 --a------ C:\WINDOWS\pntqkflv.dll
2008-06-26 10:55 . 2008-06-26 06:57 155,648 --a------ C:\WINDOWS\gxvpsafm.dll
2008-06-16 16:12 . 2008-06-16 16:12 <DIR> d-------- C:\Games
2008-06-09 15:35 . 2008-06-09 15:35 24 --a------ C:\url_history.xml
2008-06-09 14:20 . 2008-06-09 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-06-09 14:20 . 2008-06-09 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-16 14:09 --------- d-----w C:\Programme\Tennis Elbow 2006
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 14:05 --------- d-----w C:\Programme\ELBA5
2008-06-09 13:35 --------- d-----w C:\Programme\SecondLife
2008-06-03 12:01 --------- d-----w C:\Programme\RZLWin
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4B1DD1F9-BC8D-403A-A5E3-3F6B9E7AADFE}]
2008-06-26 06:57 245760 --a------ C:\WINDOWS\gfetqaxstgm.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3AF299A2-672C-4801-8D9F-025EE2C3BA66}"= "C:\WINDOWS\gxvpsafm.dll" [2008-06-26 06:57 155648]

[HKEY_CLASSES_ROOT\clsid\{3af299a2-672c-4801-8d9f-025ee2c3ba66}]
[HKEY_CLASSES_ROOT\gxvpsafm.1]
[HKEY_CLASSES_ROOT\TypeLib\{BD23BEF0-8F4C-41D0-B6CC-F939C09152C0}]
[HKEY_CLASSES_ROOT\gxvpsafm]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spamihilator"="C:\Programme\Spamihilator\spamihilator.exe" [2007-01-24 15:49 619008]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-12-21 14:34 1649600]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RZL-PatchLoader"="C:\Programme\RZLWin\RZL Internet Programmaktualisierung.exe" [2008-03-20 10:15 533760]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 15:43 7630848]
"nwiz"="nwiz.exe" [2006-08-11 15:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 15:43 86016]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 15:21 61952 C:\WINDOWS\system32\HdAShCut.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 08:18 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips Wireless USB Adapter 11g.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Philips Wireless USB Adapter 11g.lnk
backup=C:\WINDOWS\pss\Philips Wireless USB Adapter 11g.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 00:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ELBA5\\jre\\bin\\javaw.exe"=
"C:\\Programme\\ELBA5\\db\\sybase\\dbeng8.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Tennis Elbow 2006\\TennisElbow.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Games\\Fussball Challenge 2008 (ORF)\\Game.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 08:18]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-15 08:18]
R2 wlanndi5;wlanndi5 NDIS Protocol Driver;C:\WINDOWS\system32\wlanndi5.SYS [2004-04-21 17:51]
S3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2005-11-24 01:00]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 13:13]
S3 CPWUA6D;Philips USB Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\CPWUA6D1.sys [2006-05-26 10:47]
S3 fpcibase;FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2005-11-24 01:00]
S3 ip100xp;10/100Mbps Fast Ethernet Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\ipfnd51.sys [2004-07-23 14:33]
S3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [2001-08-17 13:51]

*Newly Created Service* - CATCHME
*Newly Created Service* - DMADMIN
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 17:36:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47, on 30.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\RZLWin\RZL Internet Programmaktualisierung.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Silvo Kuschej\Desktop\Neuer Ordner\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://prox
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = to bypass local addresses;<local>
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QXK Olive - {4B1DD1F9-BC8D-403A-A5E3-3F6B9E7AADFE} - C:\WINDOWS\gfetqaxstgm.dll
O3 - Toolbar: gxvpsafm - {3AF299A2-672C-4801-8D9F-025EE2C3BA66} - C:\WINDOWS\gxvpsafm.dll
O4 - HKLM\..\Run: [RZL-PatchLoader] "C:\Programme\RZLWin\RZL Internet Programmaktualisierung.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {E8304464-1EA9-4F39-A031-522874AAC230} (ESD Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A51AE82-3540-4047-9C5D-D00C46772BCA}: NameServer = 130.244.127.161,130.244.127.169
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4391 bytes



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 688F-2E44

Verzeichnis von C:\WINDOWS\system32

30.06.2008 16:56 81.191 nvapps.xml
30.06.2008 07:57 2.206 wpa.dbl
30.05.2008 01:35 17.486.968 MRT.exe
07.05.2008 07:14 1.293.312 quartz.dll
23.04.2008 22:16 3.591.680 mshtml.dll
23.04.2008 06:16 826.368 wininet.dll
23.04.2008 06:16 233.472 webcheck.dll
23.04.2008 06:16 478.208 mshtmled.dll
23.04.2008 06:16 1.159.680 urlmon.dll
23.04.2008 06:16 105.984 url.dll

.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 688F-2E44

Verzeichnis von C:\DOKUME~1\SILVOK~1\LOKALE~1\Temp

30.06.2008 17:51 103.284 datfind.txt
30.06.2008 17:45 512 ~DFDA82.tmp
30.06.2008 17:33 512 ~DF38B0.tmp
3 Datei(en) 104.308 Bytes
0 Verzeichnis(se), 182.616.195.072 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 688F-2E44

Verzeichnis von C:\WINDOWS

30.06.2008 17:37 53.248 PSEXESVC.EXE
30.06.2008 17:36 227 system.ini
30.06.2008 17:19 1.118.302 WindowsUpdate.log
30.06.2008 17:19 1.270.672 iis6.log
30.06.2008 17:19 478.788 tsoc.log
30.06.2008 17:19 213.454 ntdtcsetup.log
30.06.2008 17:19 344.103 comsetup.log
30.06.2008 17:19 57.259 ocmsn.log
30.06.2008 17:19 71.618 medctroc.Log
30.06.2008 17:19 1.917 imsins.log
30.06.2008 17:19 49.676 tabletoc.log
30.06.2008 17:19 176.765 netfxocm.log
30.06.2008 17:19 536.969 ocgen.log
30.06.2008 17:19 51.875 msgsocm.log
30.06.2008 17:19 1.007.826 FaxSetup.log
30.06.2008 17:19 346.450 msmqinst.log
30.06.2008 17:08 180.149 setupact.log
30.06.2008 16:56 0 0.log
30.06.2008 16:56 2.048 bootstat.dat
30.06.2008 16:55 32.630 SchedLgU.Txt
30.06.2008 13:42 176 wininit.ini
30.06.2008 13:41 1.917 imsins.BAK
26.06.2008 06:57 155.648 gxvpsafm.dll
26.06.2008 06:57 245.760 gfetqaxstgm.dll
26.06.2008 06:57 229.376 pntqkflv.dll
23.06.2008 17:02 10.829 KB951376-v2.log
19.06.2008 15:13 137.796 setupapi.log

.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 688F-2E44

Verzeichnis von C:\WINDOWS\temp

30.06.2008 16:56 8.405.015 hlktmp
1 Datei(en) 8.405.015 Bytes
0 Verzeichnis(se), 182.616.182.784 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 688F-2E44

Verzeichnis von C:\WINDOWS\Downloaded Program Files

23.03.2007 13:17 1.292 erma.inf
18.09.2006 20:33 65 desktop.ini
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
4 Datei(en) 3.216 Bytes
0 Verzeichnis(se), 182.616.182.784 Bytes frei



Hoffe ich hab das jetzt richtig gemacht und Ihr könnt mir hier weiter helfen!?
Jedenfalls schon mal DANKE im voraus!!!

lg Kerstin

#2 Hallo, KerstinDimmi

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4B1DD1F9-BC8D-403A-A5E3-3F6B9E7AADFE}
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3AF299A2-672C-4801-8D9F-025EE2C3BA66}"=-
[-HKEY_CLASSES_ROOT\clsid\{3af299a2-672c-4801-8d9f-025ee2c3ba66}]
[-HKEY_CLASSES_ROOT\gxvpsafm.1]
[-HKEY_CLASSES_ROOT\TypeLib\{BD23BEF0-8F4C-41D0-B6CC-F939C09152C0}]
[-HKEY_CLASSES_ROOT\gxvpsafm]

File::
C:\WINDOWS\wininit.ini
C:\WINDOWS\gfetqaxstgm.dll
C:\WINDOWS\pntqkflv.dll
C:\WINDOWS\gxvpsafm.dll
C:\WINDOWS\tovafrnm.exe

Folder::
C:\Dokumente und Einstellungen\Silvo Kuschej\Lokale Einstellungen\Temporary Internet Files\Content.IE5\11TPFQFG
C:\Dokumente und Einstellungen\Silvo Kuschej\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZSDNAPS3

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
Combofix csfscript - mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

---------

2.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

3.
scanne mit Malwarebytes und lasse alles entfernen, was noch gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,

vielen vielen lieben Dank für deine Hilfe!!!!
Funktioniert wieder alles einwandfrei.

Liebe Grüße Kerstin