noch mals die system files:

Volume in drive C is System
Volume Serial Number is 041B-AAF9

Directory of C:\WINDOWS\system32

06.08.2007 17:15 10'240 Thumbs.db
06.08.2007 17:12 58'727 vsconfig.xml
05.08.2007 22:59 2'550 Uninstall.ico
05.08.2007 22:59 1'406 Help.ico
03.08.2007 09:53 2'674 tmp.reg
03.08.2007 09:53 0 tmp.txt
03.08.2007 08:38 141'240 FNTCACHE.DAT
03.08.2007 01:09 2'206 wpa.dbl
01.08.2007 16:40 47'616 pcwKill.z.exe
01.08.2007 15:45 436'694 perfh009.dat
01.08.2007 15:45 70'458 perfc009.dat
01.08.2007 15:45 516'186 PerfStringBackup.INI
10.07.2007 21:56 185'688 rmoc3260.dll
10.07.2007 21:55 5'632 pndx5032.dll
10.07.2007 21:55 6'656 pndx5016.dll
10.07.2007 21:18 278'528 pncrt.dll
09.07.2007 14:10 4'937 jupdate-1.6.0_02-b05.log
06.07.2007 14:47 4'212 zllictbl.dat
28.06.2007 09:57 16'256'984 MRT.exe
27.06.2007 11:21 58 DonationCoder_ScreenshotCaptor_InstallInfo.dat
21.06.2007 21:55 54'672 vsutil_loc0407.dll
21.06.2007 21:54 21'904 imsinstall_loc0407.dll
21.06.2007 21:54 17'808 imslsp_install_loc0407.dll
21.06.2007 21:54 394'984 vsdatant.sys
21.06.2007 21:54 1'086'952 zpeng24.dll
21.06.2007 21:54 99'816 vsxml.dll
21.06.2007 21:54 83'432 zlcomm.dll
21.06.2007 21:54 71'144 zlcommdb.dll
21.06.2007 21:54 472'552 vsutil.dll
21.06.2007 21:54 46'568 vswmi.dll
21.06.2007 21:54 275'944 vspubapi.dll
21.06.2007 21:54 71'144 vsregexp.dll
21.06.2007 21:54 157'160 vsinit.dll
21.06.2007 21:54 103'912 vsmonapi.dll
21.06.2007 21:54 83'432 vsdata.dll
20.06.2007 20:46 266'088 xactengine2_8.dll
20.06.2007 20:45 18'280 x3daudio1_2.dll
14.06.2007 16:53 139'264 javaws.exe
14.06.2007 16:53 69'632 javacpl.cpl
14.06.2007 15:51 135'168 javaw.exe
14.06.2007 15:51 135'168 java.exe
13.06.2007 21:25 339'968 ATIDEMGX.dll
13.06.2007 21:24 268'288 ati2dvag.dll
13.06.2007 21:23 307'200 atiiiexx.dll
13.06.2007 21:17 139'264 atipdlxx.dll
13.06.2007 21:17 118'784 Oemdspif.dll
13.06.2007 21:17 26'112 Ati2mdxx.exe
13.06.2007 21:17 42'496 ati2edxx.dll
13.06.2007 21:16 118'784 ati2evxx.dll
13.06.2007 21:15 483'328 ati2evxx.exe
13.06.2007 21:14 53'248 ATIDDC.DLL
13.06.2007 21:10 8'097'792 atioglx2.dll
13.06.2007 21:07 2'922'208 ati3duag.dll
13.06.2007 20:57 1'512'960 ativvaxx.dll
13.06.2007 20:57 3'107'788 ativva5x.dat
13.06.2007 20:57 972'072 ativva6x.dat
13.06.2007 20:57 3'107'788 ativvaxx.dat
13.06.2007 20:46 5'431'296 atioglxx.dll
13.06.2007 20:43 262'144 atikvmag.dll
13.06.2007 20:42 17'408 atitvo32.dll
13.06.2007 20:41 50'176 atiok3x2.dll
13.06.2007 20:36 368'640 ati2cqag.dll
13.06.2007 14:29 520'192 ati2sgag.exe
31.05.2007 08:45 4'816 divxsm.tlb
31.05.2007 08:45 524'288 DivXsm.exe
31.05.2007 08:44 823'296 divx_xx07.dll
31.05.2007 08:44 823'296 divx_xx0c.dll
31.05.2007 08:44 802'816 divx_xx11.dll
31.05.2007 08:44 740'442 DivX.dll
31.05.2007 08:44 638'976 divxdec.ax
28.05.2007 00:59 108'144 CmdLineExt.dll
24.05.2007 16:39 34'394 130.60.201.13
18.05.2007 11:13 5 ddecae0_g.ocx
18.05.2007 11:13 5 cfdfef8_g.dll
17.05.2007 22:16 308 results.txt
16.05.2007 17:12 683'520 inetcomm.dll
16.05.2007 16:45 443'752 d3dx10_34.dll
16.05.2007 16:45 1'124'720 D3DCompiler_34.dll
16.05.2007 16:45 3'497'832 d3dx9_34.dll
08.05.2007 11:24 3'583'488 mshtml.dll

sie scheinen wohl nicht mehr da zu sein...

darf ich mich freuen?

Die sind weg. Auch wenn Virustotal nicht gefunden hat, bin ich mir dennoch ziemlich sicher, dass es Vundoreste waren.

Onlinebanking: Ist natürlich sehr sicherheitsbedürftig. Nach dem letzten Stand ist zwar nichts zu erkennen auf deinem System, aber das kann niemand unterschreiben, dass es wirklich sauber ist. Das würde ich nicht einmal machen wollen, wenn Du ihn mir hier hinstellst, wo ich wesentlich bessere und gründlichere Möglichkeiten hätte, ihn zu untersuchen.

Bei den sonstigen Nutzungen dieses Systems ist sicher auch ein erhöhtes Infektionsrisiko gegeben und nicht alle Infektionen machen mit Popups auf sich aufmerksam, die sind zwar nervig, aber meistens weniger gefährlich. Es gibt sauber programmierte Backdoors mit Keylogger und Rootkit, die nicht schreien "Hier bin ich" sondern einfach ihre Tätigkeiten im Hintergrund ausüben.

Ich kenne Leute, die benutzen für Onlinebanking ein Knoppix, ein Linux, das komplett von einer CD startet. Da kann man sich sicher sein, dass man dann ein sauberes System gestartet hat. Bedeutet sicher eine kleine Mühe, noch dazu der Start von CD nicht gerade schnell ist, würde aber dein Sicherheitsniveau beim Besuch deiner Bankseite erhöhen.

Ansonsten mach doch noch mal einen Onlinescan und stell das Log hier rein: Kaspersky Ab und wann das System mit einem anderen Scanner prüfen zu lassen ist immer eine gute Idee.

hallo karlkar
habe mal nen escan laufen lassen...hier die auswertung:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.6
Sprache: German
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DELL\drivers\R108276\HDAQFE\win2k_xp\us\qfe.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DELL\drivers\R114075\HDAQFE\win2k3\jpn\qfe.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DELL\drivers\R114075\HDAQFE\win2k3\us\qfe.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Program Files\SigmaTel\C-Major Audio\HDAQFE\win2k3\jpn\qfe.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Program Files\SigmaTel\C-Major Audio\HDAQFE\win2k3\us\qfe.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\VundoFix Backups\gdtefdqe.exe.bad infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\******\Heruntergeladene Dateien\WoW-2.0.0-deDE-Installer\Installer.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\closeapp.exe markiert als "not-a-virus:RiskTool.Win32.CloseApp.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vimc.exe//WISE0005.BIN markiert als "not-a-virus:RiskTool.Win32.CloseApp.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Clean\clean.zip/clean/pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Clean\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Clean\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Program Files\HijackThis\backups\backup-20070804-124245-559.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.io". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Program Files\HijackThis\backups\backup-20070804-124247-565.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.la". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Program Files\HijackThis\backups\backup-20070804-125907-332.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.io". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Program Files\HijackThis\backups\backup-20070805-084037-918.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.la". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Program Files\HijackThis\backups\backup-20070805-131747-650.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.io". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{55ECF33D-78CE-45C8-B45C-2910AD2FDE07}\RP3\A0000690.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.la". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\ddcyy.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.la". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\nnnomnk.dll.bad markiert als "not-a-virus:AdWare.Win32.Virtumonde.io". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\closeapp.exe markiert als "not-a-virus:RiskTool.Win32.CloseApp.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\vimc.exe//WISE0005.BIN markiert als "not-a-virus:RiskTool.Win32.CloseApp.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\******\Heruntergeladene Dateien\Anno 1701 Nocd Crack Keygen.rar/Anno 1701\NoCD Crack.exe//stream//data0004 markiert als "not-a-virus:AdWare.Win32.Mostofate.v". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\gdiplus.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
D:\******\Heruntergeladene Dateien\WoW-2.0.0-deDE-Installer\DirectX\BDA.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 140762
Gefundene Viren: 28
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 68
Dauer des Scans bisher: 01:29:33
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:53:24.89
Batchende: 22:53:28.32


was soll ich jetzt tun?....was bedeutet das....?

thx for help!

Keine Panik, das meiste was der meint "gefunden" zu haben sind Teile irgendwelcher anderer Software, meistens Software die dazu entwickelt wurde, bestimmte Malware zu entfernen. Die Profis von den Firmen sind etwas beleidigt, dass da Amateure was schreiben, wozu sie nicht imstande sind. Also werden die dabei benutzten Tools in die Erkennungen aufgenommen. Das sind hier z.B.:

• C:\WINDOWS\system32\moveex.exe
• C:\WINDOWS\system32\process.exe
• C:\WINDOWS\system32\swreg.exe
• C:\WINDOWS\system32\swsc.exe
• C:\WINDOWS\system32\closeapp.exe
• Ordner C:\Clean

Dann hat er die Backups der bereits entfernten Sachen gefunden, die können gelöscht werden:

• Ordner C:\Program Files\HijackThis\backups
• Ordner C:\VundoFix Backups

Dann gibt es da eine Datei C:\WINDOWS\system32\vimc.exe (die auch die oben schon gelistete closeapp.exe enthält). Google sagt mir: "Vista Transformation Pack". Hast Du deinem System sowas angetan?

Weiterhin diverse Meldungen "Exe.Corrupted", die entstehen, wenn der Escan mit etwas ungewöhnlich aufgebauten EXE-Dateien konfrontiert wird, mit denen er nicht umgehen kann, das heißt aber nicht, dass es Malware ist.

Übrig bleibt nur wenig:

D:\******\Heruntergeladene Dateien\Anno 1701 Nocd Crack Keygen.rar : Einer der Gründe, warum ich davon ausgehe, dass dein System oft infiziert werden wird. Ich empfehle löschen.

Die C:\WINDOWS\system32\gdiplus.dll lass mal online scanne, ich gehe aber auch davon aus, dass das ein Fehlalarm ist, weil die Datei den falschen Namen hat.


Außerdem eine Vundo-Datei, die in der Systemwiederherstellung gelandet ist. Dagegen machst Du später, wenn alles gut läuft, folgendes: Deaktiviere die Systemwiederherstellung. Dazu Systemsteuerung -> System -> Tab Systemwiederherstellung -> Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" machen -> OK. Danach den Rechner neu starten. Nun die Systemwiederherstellung wieder aktivieren, indem Du den Haken wieder wegnimmst. Solange Du die Systemwiederherstellung nicht benutzt, kann die Datei nicht rauskommen.

morjen karlkarl

ja das mit dem vista transformation pack, musste ich mal ausprobieren und weils so gut geklappt hat, mir die oberfläche gefiel und das system einwandfrei lief hab ichs halt behalten.

ich habe die gdiplus.dll von virustotal scannen lasse, hat aber nichts gefunden. soll ich die datei mit vundofix löschen?

soll ich das mit der systemwiederherstellung jetzt durchführen oder erst später?

einenkspersky onlinescan habe ich ja schon durch geführt und hier geposted, soll ich nochmals?

wie gehts weiter?

nochmals vielen, vielen dank dass du mir hilfst. ist ja nicht selbstverständlich dass ihr profis oder freeksdas hier einfach for free macht:aplaus:!!!!!

gruss
kunti

könnte dieses file (C:\WINDOWS\system32\gdiplus.dll) vielleicht das hier sein...?



http://www.microsoft.com/downloads/details.aspx?FamilyID=44004d19-b22f-4af2-a701-1fcb0467fbf9&displaylang=de

Zitat:

Zitat von Kunti

könnte dieses file (C:\WINDOWS\system32\gdiplus.dll) vielleicht das hier sein...?

Hast du Visual Studio .NET 2002 drauf?

nein, aber visual c# express edition.

habe das mal aus dummheit installiert und seitdem kann ich es nicht mehr deinstallieren. hast du da einen rat?

ach, visual c# 2005 express edition.....

Zitat:

Zitat von Kunti

ach, visual c# 2005 express edition.....

Dann kann ich diese DLL akzeptieren. Hast du die bei VirusTotal - Free Online Virus and Malware Scan gecheckt?

ja habe ich...

danke für deine hilfe!

gruss
kunti

mein antivir hat heute morgen diese drei files als schädlich entdeckt:

In der Datei 'C:\System Volume Information\_restore{55ECF33D-78CE-45C8-B45C-2910AD2FDE07}\RP3\A0000692.dll'
In der Datei 'C:\System Volume Information\_restore{55ECF33D-78CE-45C8-B45C-2910AD2FDE07}\RP3\A0000690.dll'
In der Datei 'C:\System Volume Information\_restore{55ECF33D-78CE-45C8-B45C-2910AD2FDE07}\RP1\A0000301.dll'

könnten die aus der system wiederherstellung stammen? wie werde ich die los? vielleicht mit deaktivieren der wiederherstellung oder so?

danke für eure hilfe!!!

gruss
kunti

Was hat Antivir denn dort gemeldet?

C:\System Volume Information\... enthält die Daten der Systemwiederherstellung. Deaktiviere die Systemwiederherstellung. Dazu Systemsteuerung -> System -> Tab Systemwiederherstellung -> Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" machen -> OK. Danach den Rechner neu starten. Nun die Systemwiederherstellung wieder aktivieren, indem Du den Haken wieder wegnimmst. Dabei werden alle Wiederherstellungspunkte gelöscht, es ist empfehlenswert gleich einen neuen manuell anzulegen, später legt Windows dann regelmäßig welche an.

Sollten allerdings in Zukunft wieder Funde dort auftreten, heißt das, dass es die Dateien auch woanders auf deinem System gibt.

hello karlkarl

habe jetzt das mit der wiederherstellung gemacht, wie mache ich aber einen eigenen wh-punkt?
was passiert den jetzt mit den gefundenen files die im antivir in der quaratäne sind? muss ich die irgendwie löschen oder fixen?

gruss
kunti

Moin

Einen Wiederherstellungspunkt vergeben kannst du unter Start --> Programme --> Zubehör --> Systemprogramme --> Systemwiederherstellung
findest du den Punkt einen neuen Systemwiederherstellungspunkt erstellen.

MFG