Habe den Troyaner Vundo.Gen, kriege ihn nicht gelöscht

#16 Start > Ausführen> Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt
__________
MfG Argus

#17 Bei Ausführen ComboFix /U findet er Combofix nicht, soll ich Qoobox so löschen?
Das andere habe ich runtergeladen aber noch nicht ausgeführt weil ich nicht weiß ob ich erst Combofix entfernen soll.

#18 Der Text fuer OTMoveIt ein wenig angepasst

Download OTMoveIt3 zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

Code

:Processes
explorer.exe

:Services

:Reg

:Files
c:\windows\system32\gaopdxcounter
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

im linken Fenster,wo steht "Paste List of Files/Folders to be moved"
Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Wahhhhh ist ein : vor Processes
__________
MfG Argus

#19 Hier der Logfile

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
c:\windows\system32\gaopdxcounter moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_7b8.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y4vljr7i.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y4vljr7i.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y4vljr7i.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y4vljr7i.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02032009_133610

Files moved on Reboot...
File C:\WINDOWS\temp\Perflib_Perfdata_7b8.dat not found!
C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y4vljr7i.default\Cache\_CACHE_001_ moved successfully.
C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y4vljr7i.default\Cache\_CACHE_002_ moved successfully.
C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y4vljr7i.default\Cache\_CACHE_003_ moved successfully.
C:\Dokumente und Einstellungen\Lord_of_Design\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y4vljr7i.default\Cache\_CACHE_MAP_ moved successfully.

#20 Starte jetzt OTMoveIt nochmal und klicke den Grünen CleanUp Knopf
__________
MfG Argus

#21 Habe ich gemacht und das Programm ist wieder vollständig weg.

#22 Es entfernt sichselber auch
Und folgende Daten

Zitat

[nobackups] , avenger.zip <Avenger by Swandog46> , avenger.exe ,Avenger ,avenger.txt ,bfu.zip <BFU by Merijn> ,BFU ,combofix.exe <ComboFix by sUBs>
Combo-Fix.sys ,ComboFix ,erdnt\subs ,QooBox ,ComboFix*.txt ,catchme <delete service> ,catchme.exe ,fdsv.exe ,grep.exe ,moveex.exe ,nircmd.exe
sed.exe ,swreg.exe ,Swsc.exe ,Swxcacls.exe ,VFind.exe ,WS2Fix.exe ,zip.exe ,tmp.reg ,dss.exe <Deckard's System Scanner by Deckard> ,Deckard
deljob.exe <Author Unknown> ,deljob ,logit.txt ,FindAWF.exe <FindAWF by noahdfear> ,AWF.txt ,fixwareout.exe <FixWareout by LonnyRJones>
fixwareout ,fsbl.exe <F-Secure BlackLight> ,fsbl*.log ,gmer.exe <GMER by Gmer> ,gmer.dll ,gmer.ini ,gmer.log ,gmer_uninstall.cmd ,gmer.sys
gmer <delete service> ,haxfix.exe <Haxfix by Markie> ,haxfix.txt ,killbox.exe <Killbox by Option^Explicit> ,!Killbox ,NoLop.exe <NoLop by ?>
NoLop.txt ,NoLopOLD.txt ,delete.bat ,OTMoveIt.exe <OTMoveIt by OldTimer> ,OTMoveIt2.exe ,_OTMoveIt ,OTScanIt.exe <OTScanIt by OldTimer>
OTScanIt ,_OTScanIt ,OTViewIt.exe <OTViewIt by OldTimer> ,OTViewIt.txt ,Extras.txt ,rustbfix.exe <Rustbfix by Ejvindh> ,Rustbfix ,Runscanner.zip <Runscanner by Geert> ,Runscanner.exe ,Runscanner.net ,*.run ,Runscanner ,sdfix.exe <SDFix by Andy_Manchesta> ,SDFix ,Silent Runners.vbs <by Andrew ARONOFF> ,SmitfraudFix.exe <SmitfraudFix by S!Ri> ,SmitfraudFix ,dumphive.exe ,iedfix.exe ,rapport.txt ,vacfix.exe ,vcclsid.exe ,404fix.exe
SysInsite <System Insite by Bobbi Flekman> ,VundoFix.exe <VundoFix by Atribune> ,VundoFix Backups ,vundofix.txt ,vundofix.vft ,win32delfkil.exe <WinDelfKil by Markie>, _backupD ,windelf.txt ,winpfind.exe <WinPfind by OldTimer> ,WinPfind ,WinPFind3u.exe <WinPFind3 by OldTimer>
WinPFind3u ,WinPFind35u.exe <WinPFind35 by OldTimer> ,WinPFind35u ,cleanup.txt ,[deleteself]

Benutze CCleaner
Zur Registry-Bereinigung klicke links auf "Registry", setze alle Häkchen und starte die Suche unten mit dem Button "nach Fehlern suchen".
Die gefundenen Fehler kannst Du durch den Button "Fehler beheben" entfernen lassen.
Diesen Vorgang wiederholen, bis keine Fehler mehr gefunden werden

Systemwiederherstellung (de)aktivieren

Und scanne nochmal mit Antivir
__________
MfG Argus

#23 Soll ich die Systemwiederherstellung deaktivieren oder soll ich sie aktiv lassen?
CCleaner habe ich schon laufen lassen

#24 Zuerst de-aktivieren ,Rechner neu starten, und dan wieder aktivieren
__________
MfG Argus

#25 Und dann durchscannen?
O.k mache ich und dann stell ich den Logfile on.

Hier der Logfile



Premium Security Suite
Erstellungsdatum der Reportdatei: Dienstag, 3. Februar 2009 14:07

Es wird nach 1311539 Virenstämmen gesucht.

Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM


Versionsinformationen:
BUILD.DAT : 8.2.0.252 27422 Bytes 21.11.2008 10:12:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 22.01.2009 14:59:17
AVSCAN.DLL : 8.1.4.0 48897 Bytes 22.01.2009 14:59:17
LUKE.DLL : 8.1.4.5 164097 Bytes 22.01.2009 14:59:17
LUKERES.DLL : 8.1.4.0 12545 Bytes 22.01.2009 14:59:17
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 14:59:18
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 14:59:19
ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 30.01.2009 17:14:28
ANTIVIR3.VDF : 7.1.1.220 140288 Bytes 03.02.2009 13:07:23
Engineversion : 8.2.0.71
AEVDF.DLL : 8.1.1.0 106868 Bytes 02.02.2009 17:14:39
AESCRIPT.DLL : 8.1.1.39 344443 Bytes 02.02.2009 17:14:38
AESCN.DLL : 8.1.1.6 127348 Bytes 02.02.2009 17:14:37
AERDL.DLL : 8.1.1.3 438645 Bytes 22.01.2009 14:59:19
AEPACK.DLL : 8.1.3.6 393589 Bytes 02.02.2009 17:14:37
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 22.01.2009 14:59:19
AEHEUR.DLL : 8.1.0.89 1569143 Bytes 02.02.2009 17:14:35
AEHELP.DLL : 8.1.2.0 119159 Bytes 22.01.2009 14:59:19
AEGEN.DLL : 8.1.1.12 328053 Bytes 02.02.2009 17:14:31
AEEMU.DLL : 8.1.0.9 393588 Bytes 22.01.2009 14:59:19
AECORE.DLL : 8.1.6.4 176501 Bytes 02.02.2009 17:14:30
AEBB.DLL : 8.1.0.3 53618 Bytes 22.01.2009 14:59:19
AVWINLL.DLL : 1.0.0.12 15105 Bytes 22.01.2009 14:59:17
AVPREF.DLL : 8.0.2.0 38657 Bytes 22.01.2009 14:59:17
AVREP.DLL : 8.0.0.2 98344 Bytes 22.01.2009 14:59:19
AVREG.DLL : 8.0.0.1 33537 Bytes 22.01.2009 14:59:17
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 22.01.2009 14:59:17
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 22.01.2009 14:59:18
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2904321 Bytes 22.01.2009 14:59:14
RCTEXT.DLL : 8.0.46.0 90369 Bytes 22.01.2009 14:59:14

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\avira premium security suite\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: löschen
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Dienstag, 3. Februar 2009 14:07

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System und Programme>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <Daten>


Ende des Suchlaufs: Dienstag, 3. Februar 2009 14:50
Benötigte Zeit: 42:32 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5607 Verzeichnisse wurden überprüft
274900 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
274898 Dateien ohne Befall
2475 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Danke Argus, für die tolle Hilfe, ohne dich hätte ich das nicht geschafft.
Super schnelle und kompetente Hilfe danke nochmal

#26 Happy Surfing again
__________
MfG Argus