Hallo Cocher und Willkommen!

Kann es sein das du selbst mit irgendeiner Malware experimentiert hast?



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\My_Server.exe
C:\WINDOWS\altvxvm.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)




Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Ich hab jetzt nur das mit SmitfraudFix gemacht.....mein AntiVirenProgramm hat die exe als virus angezeigt und die weiteren dateien die dazu kamen auch.....
Das ist aber kein Virus oder?!?.....und bei diesem ComboFix sagt er das 1/100 Computer nicht heile durch den prozess kommen.....


SmitFraudFix v2.305

Scan done at 15:00:12,90, 21.03.2008
Run from C:\Dokumente und Einstellungen\LaZlo\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe
C:\Programme\Power Translator 10\LogoMedia TranslateDotNet Server.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\My_Server.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\Programme\Ashampoo\Ashampoo AntiVirus\GuardGui.exe
G:\Conrad\Programme\Azureus\Azureus.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\.protected FOUND !
C:\WINDOWS\privacy_danger FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\LaZlo


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\LaZlo\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\LAZLO\STARTM~1\PROGRA~1\AUTOST~1\.protected FOUND !
C:\DOKUME~1\ALLUSE~1.WIN\STARTM~1\PROGRA~1\AUTOST~1\.protected FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\LAZLO\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: altvxvm.dll
SSODL: altvxvm - {1E78986E-9739-43A3-A436-BEA26D43B85A}

[!] Suspicious: SysKernel.dll
SSODL: SysKernel - {9b33bb93-c6ee-49fb-97fa-e6ce13633a71}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wbsys.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: ULi PCI Fast Ethernet Controller - Active Capture Driver
DNS Server Search Order: 128.8.10.14

Description: ULi PCI Fast Ethernet Controller - Active Capture Driver
DNS Server Search Order: 128.8.10.14

Description: ULi PCI Fast Ethernet Controller - Active Capture Driver
DNS Server Search Order: 128.8.10.14

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2D063580-5B56-4D9E-B64D-5386A8E90BAE}: NameServer=128.8.10.14
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4D2F684D-BE27-46AD-8723-1B82255EF288}: NameServer=128.8.10.14
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A2B42E5E-D705-4158-AE5E-930B078941F4}: NameServer=128.8.10.14
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A2B42E5E-D705-4158-AE5E-930B078941F4}: NameServer=193.125.152.3
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2D063580-5B56-4D9E-B64D-5386A8E90BAE}: NameServer=128.8.10.14
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4D2F684D-BE27-46AD-8723-1B82255EF288}: NameServer=128.8.10.14
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A2B42E5E-D705-4158-AE5E-930B078941F4}: NameServer=128.8.10.14


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat:

Zitat von Cocher

Ich hab jetzt nur das mit SmitfraudFix gemacht.....mein AntiVirenProgramm hat die exe als virus angezeigt und die weiteren dateien die dazu kamen auch.....
Das ist aber kein Virus oder?!?.....und bei diesem ComboFix sagt er das 1/100 Computer nicht heile durch den prozess kommen.....

Das hat alles seine Richtigkeit.
Und die Meldung von Smitfraudfix das ein Virus sei, ist absolut unbedenklich.
Combofix kann bei unsachgemäßer Nutzung schädlich sein für das System.


Nachdem du nun gleich noch die beiden Dateien auf Virustotal ausgewertet hast, kannst du folgendes tun:


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen und bereinigen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Ich hab doch schon das mit SmitfraudFix gemacht.....

also diese My_server.exe kann ich nicht hochladen.Die ist anscheinend zu groß, aber mein antiviren programm sagt es sei ein virus.
Die altvxvm.dll datei ging:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.20.2 2008.03.21 -
AntiVir 7.6.0.75 2008.03.20 -
Authentium 4.93.8 2008.03.20 -
Avast 4.7.1098.0 2008.03.21 -
AVG 7.5.0.516 2008.03.21 Downloader.Zlob.AAW
BitDefender 7.2 2008.03.21 -
CAT-QuickHeal 9.50 2008.03.20 AdWare.Vapsup.cpm (Not a Virus)
ClamAV 0.92.1 2008.03.21 -
DrWeb 4.44.0.09170 2008.03.21 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5631 2008.03.21 Win32/Pripecs!generic
Ewido 4.0 2008.03.21 -
F-Prot 4.4.2.54 2008.03.20 W32/FakeAlert.E.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.21 -
FileAdvisor 1 2008.03.21 -
Fortinet 3.14.0.0 2008.03.21 -
Ikarus T3.1.1.20 2008.03.21 AdWare.NetAdware.S
Kaspersky 7.0.0.125 2008.03.21 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.21 -
NOD32v2 2966 2008.03.21 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.20 -
Prevx1 V2 2008.03.21 Downloader.Zlob.AAW
Rising 20.36.42.00 2008.03.21 Trojan.DL.Win32.QQHelper.bcy
Sophos 4.27.0 2008.03.21 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.21 SecurityRisk.Downldr
TheHacker 6.2.92.250 2008.03.19 -
VBA32 3.12.6.3 2008.03.21 suspected of Downloader.Zlob.8
VirusBuster 4.3.26:9 2008.03.20 -
Webwasher-Gateway 6.6.2 2008.03.21 -
weitere Informationen
File size: 208896 bytes
MD5: c446c2656f0a083e583269ab17c80fd6
SHA1: fd9de55259ed4c0bccc2b53821aaa6dab26e8224
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B522364800CB0FB73025039DE8B9EC009D4F2613

ERLEDIGT:
hab einfach im abgesichtertem modus gestartet und dann mit smitfraudfix
die viren gelöscht (option 2)