Hallo Community,...
ich habe schon viel im Forum selbst gestöbert und mir konnte in der Vergangenheit durch lesen anderer Posts immer geholfen werden, was jedoch diesmal leider nicht der Fall ist und ich mich deshalb registriert habe...
Mein Problem wie im Thema beschrieben ist, dass ich mir einen Virus eingefangen habe in Facebook der willkürlich wohl gesendet wurde und xxx.allez-dax.de wohl beinhaltete. Es handelte sich um ein Skript und nicht um ein Bild wie ich nun leider nach dem öffnen festellen musste und mein PC ist nun voller Viren befallen, die auch Downloads verhindern oder willkürlich kein Internet zulassen... auch Facebookfreunde bekommen den Virus von mir...
Ich erhoffe mir nun Hilfe von erfahrenen Leuten, sodass mein System wieder als "bereinigt" angesehene werden kann und bedanke mich schonmal im Vorraus! Für Tips dann zur Beseitigung des Viruses wäre ich sehr dankbar!
Anbei natürlich der Vollscan von
Malwarebytes und ich hab noch mit ESET Onlinescanner gescannt,....hier füge ich auch mal eine LOG Datei an!
LOG Datei Malwarebytes:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 7882
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
06.10.2011 07:49:48
mbam-log-2011-10-06 (07-49-48).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 227577
Laufzeit: 53 Minute(n), 26 Sekunde(n)
Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10
Infizierte Speicherprozesse:
c:\WINDOWS\system32\lvvm.exe (Backdoor.Bot) -> 1572 -> Unloaded process successfully.
c:\dokumente und einstellungen\user\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 220 -> Unloaded process successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\microsoft\csrss.exe (Backdoor.Bot) -> 1196 -> Unloaded process successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\conhost.exe (Backdoor.Bot) -> 2960 -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.Bot) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\WINDOWS\system32\lvvm.exe) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\WINDOWS\system32\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\microsoft\csrss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\conhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\Temp\1505504.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\Temp\6613999.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\2XPQIDHN\st[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\5JIQLHVP\fu[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\5JIQLHVP\gb[1].exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\5JIQLHVP\m[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
|
Und nun die LOG Datei von ESET
Zitat:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=952c112a21f0344f974c6130fd6a6fc0
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-06 06:03:55
# local_time=2011-10-06 08:03:55 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 58541943 58541943 0 0
# compatibility_mode=1797 16775125 100 100 48030 93391402 19006 0
# compatibility_mode=8192 67108863 100 0 260 260 0 0
# scanned=68867
# found=6
# cleaned=0
# scan_time=4943
C:\Dokumente und Einstellungen\user\Anwendungsdaten\conhost.exe a variant of Win32/Kryptik.TOL trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\1505504.exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2XPQIDHN\st[1].exe a variant of Win32/Kryptik.TOO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5JIQLHVP\fu[1].exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5JIQLHVP\m[1].exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\M-1-52-5782-8752-5245\winsvc.exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
|
Vielen Dank und Liebe Grüße!
06.10.2011, 07:06
Baum-Darstellung