Datei: 034105.exe
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
PE_PATCH

Hab bei antivir die Dateien die mir als infiziert angezeigt wurden löschen lassen!Sonst hab ich nichts gemacht...außer gestern halt die meisten Virenprogramme gelöscht!
Ich folge dir aufs Wort:P

yeah noch son tolles teil sagt antivir...

C:\WINDOWS\SYSTEM32\DRIVERS\I386P.SYS

Ist das Trojanische Pferd TR/Cheuko.A.2

was soll ich damit machen?Löschen durch Antivir?

Hallo,
kannst du mal wie bei der wmedia32.exe posten was jeweils alle Scanner dazu sagen, auch wenn alle sagen "Keine Viren gefunden".
Und mache mal noch das mit dem Programm.
Suche (unter Rechtsklick auf Start>>suchen) außerdem mal nach "*.vir" (ohne Anführungsstriche).

Edit
Nein, nicht löschen, ebenfalls wie die anderen Dateien überprüfen und Ergebnis posten. Falls dich AntiVir nervt stelle es ab.



Grüße Wildone

die scanner haben gesagt:

Datei: wmedia32.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
W32/Locksky.M-mm gefunden
Kaspersky Anti-Virus
Trojan-Spy.Win32.Banker.ane gefunden
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Keine Viren gefunden
UNA
I-Worm.Locksky gefunden
VBA32
Keine Viren gefunden

die dateien die antivir findet gibts bei mir im ordner gar nich....komische sache
Edit: sind versteckte dateien seh ich grad durch das andere programm

Hallo,
mache mal bitte jetzt als erstes das mit F-Secure Blacklight, mir schwant langsam das sich da was ganz übles auf deinem System eingenistet hat.


Grüße Wildone

hier der Log:

01/31/06 21:16:32 [Info]: BlackLight Engine 1.0.30 initialized
01/31/06 21:16:32 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/31/06 21:16:33 [Note]: 7019 4
01/31/06 21:16:33 [Note]: 7005 0
01/31/06 21:18:01 [Note]: 7006 0
01/31/06 21:18:01 [Note]: 7011 1448
01/31/06 21:18:03 [Note]: FSRAW library version 1.7.1014
01/31/06 21:19:15 [Info]: Hidden file: C:\WINDOWS\system32\drivers\i386p.sys
01/31/06 21:27:52 [Note]: 7002 0
01/31/06 21:27:52 [Note]: 7003 1
01/31/06 21:27:52 [Note]: 10002 1
01/31/06 21:28:02 [Info]: Hidden file: C:\WINDOWS\system32\msctl32.dll
01/31/06 21:28:57 [Note]: 7002 0
01/31/06 21:28:57 [Note]: 7003 1
01/31/06 21:28:57 [Note]: 10002 1
01/31/06 21:34:00 [Note]: 7007 0

Hallo,
ja das hatte ich befürchtet, du hast ein Rootkit auf deinem System und das kann man nicht so ohne weiteres entfernen. Soetwas greift zu tief in das System ein (Veränderungen des Systems auf einer Ebene bevor z.B. der Explorer darauf zugreift).
Also lange Rede kurzer Sinn, du solltest das System neu aufsetzen und keine ausführbaren Dateien(exe, com, scr, pif..) von dem neuen auf das alte System übernehmen.
Das einzig positive daran ist das wir jetzt mit Sicherheit sehen können ob die Probleme an der Hardware oder an dem System liegen.
Eine sehr gute Anleitung wie du beim Neuaufsetzen und anschließenden absichern vorgehen solltest findest du hier.

Sorry für die schlechten Nachrichten.


Grüße Wildone

*schnüf* naja hab ich mir fast gedacht Aber hey mein Rechner ist jetzt erstmal nicht abgestürzt..wow....lieb dass du mich so lang unterstützt hast
aber das sowas krasses allein durch nen anklicken einer Seite passieren kann...sowas find ich krass....
beim neu aufsetzen hab ich meistens das problem meiner ganzen programme...die wichtigen die ich auch nicht mehr hier hab...spielstände etc. und meine 2. festplatte fasst nich so viel wie ich retten wollen würde.....ach ich hasse es

aber muss man durch ne?

MfG Tequila

Hallo,
ja führt kein Weg daran vorbei. Ob das allein durch das anklicken einer Webseite passiert ist weiß ich nicht, wenn dann nutzt die aber eine Lücke im Browser höchst effizient aus. Ach, und vergiß auch nicht alle deine Passwörter zu ändern, einer der Trojaner hat unter anderem auch das Ziel deine Onlinebanking Aktivitäten abzufangen.
Wenn du alles neu gemacht hast kannst du dich ja noch mal melden, dann kann ich es mir zur Kontrolle noch mal anschauen.



Grüße Wildone

hm ja programme kann ich ja einfach auf meine andere festplatte rüberziehn oder?gibts keine probleme ne?
kann schon sein dass vorher solch zeug drauf war aber da hab ichs noch nich gemerkt!
onlinebanking mach ich gottseidank nicht!

vielen lieben dank für die hilfe und wenn du mal in potsdam bist meld dich dann gehn wir mal aufn bierchen :P

MfG Tequila

Hallo,
also gerade bei einer sochen Infektion solltest du eigentlich selbst die Programme nicht übernehmen (bzw. rüberschieben) sondern alle neu installieren, da es durchaus möglich ist das die Dateien so manipuliert wurden das ein ausführen eine Neuinfektion zur Konsequenz hätte. Wie gesagt keine exe Dateien übernehmen, und damit werden quasi alle Programme darunter fallen.

P.S. Wenn ich mal in Potsdam vorbeikomme, komme ich darauf zurück.

Grüße Wildone

gute nacht :P

so hab das system neu aufgesetzt...jetz kommn erstma tolle updates und so...freude!nunja hier erstmal aktueller Log!
Hoffe da is nix drin!




Logfile of HijackThis v1.99.1
Scan saved at 23:45:47, on 31.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\CTFMON.EXE
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Opera\Opera.exe
D:\HijackThis.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

Schaut gut aus. Zur Sicherheit kannst Du ja nochmal Blacklight laufen lassen.

so hab Blacklight drüber geschickt wurde nix gefundn!
Damit ist mein Problem wohl behoben
Danke nochmal für die liebe Hilfe!

Gute Nacht

MfG Tequila