Virus aus Russland

Swisstreasure · 06.09.2011, 18:00

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

:OTL
MsConfig:64bit - StartUpFolder: C:^Users^Michael^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^scandisk.lnk - C:\Windows\SysNative\rundll32.exe - (Microsoft Corporation)
:Commands
[purity]
[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

RanaXT · 06.09.2011, 18:45

Code:

ATTFilter

All processes killed
========== OTL ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
->Temp folder emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Michael
->Temp folder emptied: 607129 bytes
->Temporary Internet Files folder emptied: 470837889 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 62907232 bytes
->Flash cache emptied: 5246 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 65997 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 319 bytes
 
Total Files Cleaned = 510,00 mb
 
 
OTL by OldTimer - Version 3.2.27.0 log created on 09062011_193055

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\mcafee_ZiuY4kijd6YKRrp not found!
File\Folder C:\Windows\temp\mcmsc_aJHES3271OGPvOr not found!
File\Folder C:\Windows\temp\sqlite_5lIEijGOh5VytXr not found!
File\Folder C:\Windows\temp\sqlite_9z2RADlgOCHtcik not found!
File\Folder C:\Windows\temp\sqlite_lWkdYNbmu7EEOpc not found!

Registry entries deleted on Reboot...

Swisstreasure · 06.09.2011, 20:25

Bestehen noch Probleme?

RanaXT · 07.09.2011, 10:08

Also was ich feststellen kann nicht.

Nur im Startup ist noch ein Prozess der zwar ausgeschalten ist aber mir nichts sagt (uviuxalsavez oder so).

Ist das was?

Swisstreasure · 07.09.2011, 19:50

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

:OTL
MsConfig:64bit - StartUpReg: Uvixalosacevez - hkey= - key= - C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uvixalosacevez]
:Commands
[purity]
[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

RanaXT · 09.09.2011, 07:51

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\Uvixalosacevez\ not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uvixalosacevez\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
->Temp folder emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Michael
->Temp folder emptied: 1561838 bytes
->Temporary Internet Files folder emptied: 289245732 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 88870303 bytes
->Flash cache emptied: 4640 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 66177 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 362,00 mb
 
 
OTL by OldTimer - Version 3.2.27.0 log created on 09092011_083736

Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\mcafee_Fk0P3oAf7VJXbzw not found!
File\Folder C:\Windows\temp\mcmsc_okgskLh9LxeJfYr not found!
File\Folder C:\Windows\temp\sqlite_0Ehe0d2cPZ4E7J0 not found!
File\Folder C:\Windows\temp\sqlite_ktwabk5LRAIOWKZ not found!
File\Folder C:\Windows\temp\sqlite_mCM3RpcjhzS3D5J not found!

Registry entries deleted on Reboot...

Swisstreasure · 09.09.2011, 21:32

Bestehen noch Probleme?

RanaXT · 10.09.2011, 13:21

Nein passt eig. wieder alles

wars das?
wenn ja kann ich die Programme wieder löschen?
und kann man sagen was das für ein Virus war?

Swisstreasure · 11.09.2011, 23:24

Melde mich Morgen, sorry.

Swisstreasure · 12.09.2011, 17:55

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

RanaXT · 13.09.2011, 05:14

Das mit dem ausführen hat nicht funktioniert aber das ist der log der gefundenen sachen:

Code:

ATTFilter

C:\Program Files (x86)\EA\Bulletstorm\Binaries\Win32\xlive.dll	a variant of Win32/Packed.VMProtect.AAD trojan
C:\ProgramData\VistaCodecs\{CE8A1292-3EE0-42E0-9C78-DB078E7165F2}\Vista Codec Package.msi	Win32/Packed.Autoit.E.Gen application
C:\Qoobox\Quarantine\C\Users\Michael\kbloadCF.dll.vir	a variant of Win32/Kryptik.SQG trojan
C:\Qoobox\Quarantine\C\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanjdiskb96.dll.vir	a variant of Win32/Kryptik.SQG trojan
C:\Users\All Users\VistaCodecs\{CE8A1292-3EE0-42E0-9C78-DB078E7165F2}\Vista Codec Package.msi	Win32/Packed.Autoit.E.Gen application
C:\Users\Michael\Desktop\Neuer Ordner\FH\CAD\HSS-1.30-install-anchorfree-76-conduit.zip	a variant of Win32/HotSpotShield application
C:\Users\Michael\FH\1. Semester\CAD\HSS-1.30-install-anchorfree-76-conduit.zip	a variant of Win32/HotSpotShield application
C:\Users\Michael\Neuer Ordner\Adobe.Photoshop.CS5.Extended.v12.rar	NSIS/TrojanDownloader.Agent.NBW trojan
C:\_OTL\MovedFiles\09022011_113136\C_Users\Michael\kbloadCF.dll	a variant of Win32/Kryptik.SQG trojan
C:\_OTL\MovedFiles\09022011_113136\C_Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanjdiskb96.dll	a variant of Win32/Kryptik.SQG trojan

Swisstreasure · 13.09.2011, 17:46

Poste das vollständige Log bitte.

RanaXT · 13.09.2011, 18:44

Sry hab das log erst suchen müssen.

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=f8009d04992daa4aa00f1d5ffdb9f188
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-13 01:53:13
# local_time=2011-09-13 03:53:13 (+0100, Mitteleuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5121 16776573 100 82 62841238 68810219 0 0
# compatibility_mode=5892 16776574 100 45 114980350 153385637 0 0
# compatibility_mode=8192 67108863 100 0 216 216 0 0
# scanned=303881
# found=10
# cleaned=0
# scan_time=17061
C:\Program Files (x86)\EA\Bulletstorm\Binaries\Win32\xlive.dll	a variant of Win32/Packed.VMProtect.AAD trojan (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\VistaCodecs\{CE8A1292-3EE0-42E0-9C78-DB078E7165F2}\Vista Codec Package.msi	Win32/Packed.Autoit.E.Gen application (unable to clean)	00000000000000000000000000000000	I
C:\Qoobox\Quarantine\C\Users\Michael\kbloadCF.dll.vir	a variant of Win32/Kryptik.SQG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Qoobox\Quarantine\C\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanjdiskb96.dll.vir	a variant of Win32/Kryptik.SQG trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\VistaCodecs\{CE8A1292-3EE0-42E0-9C78-DB078E7165F2}\Vista Codec Package.msi	Win32/Packed.Autoit.E.Gen application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Michael\Desktop\Neuer Ordner\FH\CAD\HSS-1.30-install-anchorfree-76-conduit.zip	a variant of Win32/HotSpotShield application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Michael\FH\1. Semester\CAD\HSS-1.30-install-anchorfree-76-conduit.zip	a variant of Win32/HotSpotShield application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Michael\Neuer Ordner\Adobe.Photoshop.CS5.Extended.v12.rar	NSIS/TrojanDownloader.Agent.NBW trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\09022011_113136\C_Users\Michael\kbloadCF.dll	a variant of Win32/Kryptik.SQG trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\09022011_113136\C_Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanjdiskb96.dll	a variant of Win32/Kryptik.SQG trojan (unable to clean)	00000000000000000000000000000000	I

Swisstreasure · 14.09.2011, 22:11

Zitat:

Photoshop.CS5

Originalversion?

RanaXT · 15.09.2011, 15:20

Keine Ahnung, muss eventuell von meinem Bruder sein, der beützt das Programm in der Schule. Weil installiert habe bzw. hatte ich Photoshop nie.

06.09.2011, 20:25	#18
Swisstreasure /// Malwareteam	Virus aus Russland Bestehen noch Probleme? __________________

09.09.2011, 21:32	#22
Swisstreasure /// Malwareteam	Virus aus Russland Bestehen noch Probleme?

11.09.2011, 23:24	#24
Swisstreasure /// Malwareteam	Virus aus Russland Melde mich Morgen, sorry.

13.09.2011, 17:46	#27
Swisstreasure /// Malwareteam	Virus aus Russland Poste das vollständige Log bitte.

Virus aus Russland

Plagegeister aller Art und deren Bekämpfung: Virus aus Russland