DNS Changer: erbitte professionelle Unterstützung

#16 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\drivers\755423f1.sys" deleted successfully.

Error: file "c:\windows\system32\jbnmcd.dll" not found!
Deletion of file "c:\windows\system32\jbnmcd.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\system32\drivers\741cc7d9.sys" deleted successfully.

Error: file "c:\windows\system32\drivers\3b089c5.sys" not found!
Deletion of file "c:\windows\system32\drivers\3b089c5.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Ok, hab das Backup.zip geschickt

danke

#17 wenn noch Viren/Trojaner noch da Sind Mach Ein Onlinescan mit BitDefender

http://virus-protect.org/artikel/tools/bitdefender.html

#18 >>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

Gruss Swiss

#19 Hallo, also hier die Logs von datfind.bat:

Datenträger in Laufwerk C: ist Eco_R1
Volumeseriennummer: 88B1-0FC9

Verzeichnis von c:\

04.06.2009 08:44 0 dirdat.txt
04.06.2009 08:20 792'723'456 pagefile.sys
03.06.2009 17:09 2'026 avenger.txt
02.06.2009 18:52 10'011 Bug.txt
02.06.2009 13:30 20'139 ComboFix.txt
02.06.2009 13:07 471 boot.ini
26.05.2009 04:18 105 tj.vbs
12.02.2009 15:06 0 report.txt
28.01.2009 19:13 400 Boot.bak

Datenträger in Laufwerk C: ist Eco_R1
Volumeseriennummer: 88B1-0FC9

Verzeichnis von C:\WINDOWS\system32

04.06.2009 08:29 200'078 nvapps.xml
04.06.2009 08:28 2'422 wpa.dbl
03.06.2009 17:40 11'564 DVCState-{00000005-00000000-0000000A-00001102-00000008-10211102}.rfx
03.06.2009 17:40 1'080 settings.sfm
03.06.2009 17:40 1'080 settingsbkup.sfm
03.06.2009 17:40 29'604 BMXBkpCtrlState-{00000005-00000000-0000000A-00001102-00000008-10211102}.rfx
03.06.2009 17:40 30'600 BMXState-{00000005-00000000-0000000A-00001102-00000008-10211102}.rfx
03.06.2009 17:40 29'604 BMXCtrlState-{00000005-00000000-0000000A-00001102-00000008-10211102}.rfx
03.06.2009 17:40 30'600 BMXStateBkp-{00000005-00000000-0000000A-00001102-00000008-10211102}.rfx
02.06.2009 18:52 401'408 CF6035.exe
02.06.2009 18:52 401'408 cmd.execf
21.05.2009 15:04 11'168 dunatoza
15.04.2009 15:57 185'920 rmoc3260.dll
15.04.2009 15:57 5'632 pndx5032.dll
15.04.2009 15:57 6'656 pndx5016.dll
15.04.2009 15:57 348'160 msvcr71.dll
15.04.2009 15:57 499'712 msvcp71.dll
15.04.2009 15:57 278'528 pncrt.dll
15.04.2009 14:13 453'880 perfh009.dat
15.04.2009 14:13 76'482 perfc009.dat
15.04.2009 14:13 474'462 perfh007.dat
15.04.2009 14:13 90'964 perfc007.dat
15.04.2009 14:13 1'110'814 PerfStringBackup.INI
14.04.2009 22:06 3'774 jupdate-1.6.0_13-b03.log
14.04.2009 20:07 270'192 FNTCACHE.DAT
21.03.2009 16:20 1'059'840 kernel32.dll
09.03.2009 05:19 144'792 javaw.exe
09.03.2009 05:19 148'888 javaws.exe
09.03.2009 05:19 144'792 java.exe
09.03.2009 05:19 410'984 deploytk.dll
09.03.2009 02:53 73'728 javacpl.cpl
06.03.2009 16:44 286'208 pdh.dll
03.03.2009 02:03 826'368 wininet.dll

Datenträger in Laufwerk C: ist Eco_R1
Volumeseriennummer: 88B1-0FC9

Verzeichnis von C:\WINDOWS

04.06.2009 08:29 4'958'588 {00000005-00000000-0000000A-00001102-00000008-10211102}.CDF
04.06.2009 08:20 157 wiadebug.log
04.06.2009 08:20 50 wiaservc.log
04.06.2009 08:20 2'048 bootstat.dat
03.06.2009 17:40 32'542 SchedLgU.Txt
02.06.2009 13:25 227 system.ini
31.05.2009 11:08 154'624 PEV.exe
01.05.2009 15:00 116 NeroDigital.ini
25.04.2009 20:09 732 win.ini
20.04.2009 12:56 31'232 NIRCMD.exe

Datenträger in Laufwerk C: ist Eco_R1
Volumeseriennummer: 88B1-0FC9

Verzeichnis von C:\DOKUME~1\pc\LOKALE~1\Temp

04.06.2009 08:43 0 etilqs_JpEhx8Nz4hP6DXvai4C5
04.06.2009 08:34 2'807 jusched.log
04.06.2009 08:29 375 WCESCOMM.LOG
04.06.2009 08:29 6'058 WCESLog.log
03.06.2009 17:40 2'048'000 Acr69B0.tmp
03.06.2009 17:33 53'285 Acr69B7.tmp
03.06.2009 17:29 426 Acr69B2.tmp
02.06.2009 18:53 0 WcesView.log
8 Datei(en) 2'110'951 Bytes
0 Verzeichnis(se), 4'432'195'584 Bytes frei



Ist das Ok so? Oder braucht ihr mehr?

#20 Wie siehts den jetzt aus funktioniert
der taskmanager wieder ?
was sagt deine firewall ?
welche probleme bestehen noch welche sind weg

#21 >>
Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche c:\windows\system32\jbnmcd.dll und klicke falls die Datei noch existiert OK

Mach dasselbe mit
c:\windows\system32\drivers\3b089c5.sys


>>
Es dürfte wieder alles sauber sein, aber führe trotzdem Fixwareout noch aus:

Download Fixwareout auf den Desktop
Doppelklick Fixwareout.exe um es zu starten
Klicke Next und dan auf Install, achte darauf das Run fixit angehaakt ist und klick Finish.
Der Fix faengt an und folge die Instruktion im Fenster
Wenn gefragt wird dein Rechner neu zu starten,starte neu
Dein Rechner startet jetzt langsamer das ist normal
Poste den Inhalt von C:\fixwareout\report.txt (report.txt).

Gruss Swiss

#22 Hallo, hier das Log

Username "pc" - 04.06.2009 18:12:44 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"
"AudioDrvEmulator"="\"C:\\Programme\\Creative\\Shared Files\\Module Loader\\DLLML.exe\" -1 AudioDrvEmulator \"C:\\Programme\\Creative\\Shared Files\\Module Loader\\Audio Emulator\\AudDrvEm.dll\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"CanonMyPrinter"="C:\\Programme\\Canon\\MyPrinter\\BJMyPrt.exe /logon"
"ShStatEXE"="\"C:\\Programme\\McAfee\\VirusScan Enterprise\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Programme\\McAfee\\Common Framework\\UdaterUI.exe\" /StartedFromRunKey"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"CTSysVol"="C:\\Programme\\Creative\\SBAudigy4\\Surround Mixer\\CTSysVol.exe /r"
"CTHelper"="CTHELPER.EXE"
"GrooveMonitor"="\"C:\\Programme\\Microsoft Office\\Office12\\GrooveMonitor.exe\""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre6\\bin\\jusched.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"avgnt"="\"C:\\Programme\\Avira\\AntiVir Desktop\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe\""
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Die zwei anderen Files werden von Malwarebytes nicht gefunden.
Ok, ich lasse mal Malwarbytes und Avira drüber laufen...

Mal schauen

#23 Genau. Danach noch:

>>
OTMoveIt3.exe
bleepingcomputer.com

->OTMoveIt3.exe auf dem Desktop speichern
OTMoveIt.exe klicken
1. klicken: CleanUp! button

2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

Gruss Swiss

#24 Hier mal die neusten Logs noch von Avira und Malwarebytes:

Scheint schon noch was drauf zu sein....

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 4. Juni 2009 16:03

Es wird nach 1451339 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ECO_R1

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 02.06.2009 10:38:47
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:26
ANTIVIR2.VDF : 7.1.4.38 2692096 Bytes 29.05.2009 10:38:47
ANTIVIR3.VDF : 7.1.4.58 152576 Bytes 04.06.2009 14:02:40
Engineversion : 8.2.0.180
AEVDF.DLL : 8.1.1.1 106868 Bytes 02.06.2009 10:38:47
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 02.06.2009 10:38:47
AESCN.DLL : 8.1.2.3 127347 Bytes 02.06.2009 10:38:47
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:41
AEPACK.DLL : 8.1.3.18 401783 Bytes 02.06.2009 10:38:47
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:56
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 02.06.2009 10:38:47
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:56
AEGEN.DLL : 8.1.1.44 348532 Bytes 02.06.2009 10:38:47
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 02.06.2009 10:38:47
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 02.06.2009 10:38:47
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:16
RCTEXT.DLL : 9.0.37.0 87809 Bytes 02.06.2009 10:38:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 4. Juni 2009 16:03

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '51527' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Mctray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CtHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSysVol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UdaterUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'shstat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLLML.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ViewMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DPFUSMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCMWLTRY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ViewpointService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'naPrdMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VsTskMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FrameworkService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DpHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DPWinLct.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinStylerThemeSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '56' Prozesse mit '56' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '64' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Eco_R1>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\pc\Desktop\Checken\755423f1.sys
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/NewRest.Z.30
C:\System Volume Information\_restore{8A18AA35-8AE8-40AA-B080-CC72DE93048F}\RP885\A0156569.sys
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/NewRest.Z.30
C:\System Volume Information\_restore{8A18AA35-8AE8-40AA-B080-CC72DE93048F}\RP885\A0156570.sys
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/NewRest.Z.30

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\pc\Desktop\Checken\755423f1.sys
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/NewRest.Z.30
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5cdf4c.qua' verschoben!
C:\System Volume Information\_restore{8A18AA35-8AE8-40AA-B080-CC72DE93048F}\RP885\A0156569.sys
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/NewRest.Z.30
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a58df47.qua' verschoben!
C:\System Volume Information\_restore{8A18AA35-8AE8-40AA-B080-CC72DE93048F}\RP885\A0156570.sys
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/NewRest.Z.30
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcd7718.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 4. Juni 2009 16:49
Benötigte Zeit: 46:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8220 Verzeichnisse wurden überprüft
343433 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
343429 Dateien ohne Befall
3989 Archive wurden durchsucht
1 Warnungen
4 Hinweise
51527 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Malwarebytes:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2229
Windows 5.1.2600 Service Pack 2

04.06.2009 21:04:20
mbam-log-2009-06-04 (21-04-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 183951
Laufzeit: 2 hour(s), 12 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{8a18aa35-8ae8-40aa-b080-cc72de93048f}\RP885\A0156572.exe (Trojan.Banker) -> Quarantined and deleted successfully.

Ok, ich mach das andere noch

Gruss

Sebastian

#25 Komisch, dass wurde hier ja bereits gelöscht.
File "c:\windows\system32\drivers\755423f1.sys" deleted successfully.

Das restliche:
c:\system volume information\_restore
steckt nur noch in der Systemwiderherstellung, hast du OTMoveIT und Systemwiederherstellung deaktivieren gemäss meinem obigen Beitrag auch noch erledigt?

Dann sind auch diese Einträge weg.

>>
Scanne noch mit CureIT und schau was der findet:
http://board.protecus.de/t29350.htm

Gruss swiss

#26 Jawoll, das mache ich.

Du mal so nebenbei, ich bin dir (und auch allen anderen die mir bis jetzt geholfen haben) sehr dankbar für die wirklich professionelle Hilfe. Ohne euch würde ich da nirgends durchblicken.

Aber mal so ne Frage nebenbei:

Wie schützt man sich denn eigentlich am besten gegen solche fiesen Viren wie den DNS Changer?

Gibt es ein Anti-Malware Programm und vielleicht ein Anti-Virus Programm, dass ihr wirklich empfehlen könnt? Mir ist McAfee einfach nicht sympathisch.

#27

Zitat

Eco_R1 postete
Mir ist McAfee einfach nicht sympathisch.

Und es gibt auch deutlich bessere

Wie ich gesehen habe, hast Du McAfee und Avira installiert. Es ist absolut nicht zu empfehlen, zwei Virenscanner installiert zu haben. Avira hat bereits eine sehr gute Erkennung, die McAfee um Längen schlägt. Wenn Dich die Werbe-PopUps vom kostenlosen Avira stören, dann empfehle ich GDATA AntiVirus.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#28 Als Freeware würde ich auch AVIRA vorschlagen. Ansonsen Kaspersky Internet Security, was ich selber habe. Zudem las ab und zu Malwarebytes laufen (vorher aber imemer updaten).

Was meint CureIT?

Zudem kennst du diese Datei: C:\tj.vbs
Wenn nicht dann:
antivbs.zip - laden - entzippen + anwenden
http://virus-protect.org/zip/antivbs.zip

Gruss Swiss

#29 Das meint CureIT:

Sorry musste es packen, war so ein riesen File:

#30 Hast du AntiVBS auch ausgeführt?

>>
Nun poste ein neues Log von Combofix:
http://www.virus-protect.org/artikel/tools/combofix.html


Gruss Swiss