hallo,
bitte mal folgende datei

Zitat:

C:\syslog\run.exe

per copy/paste(nicht durchsuchen) bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
hochladen und die kompletten ergebnisse posten.
ich würde bei umleitung über die ukraine

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8446E27C-2812-4B97-B8EF-D155265F610C}: NameServer = 85.255.114.99,85.255.112.129

aber auf jeden fall neuaufsetzen. der rechner gehört nicht mehr dir.

@ikaruss


Bitte warte noch mit der Neuinstallation, man kann dein System mit großer Wahrscheinlichkeit bereinigen!


dafür folgendes:

DNS-Einträge entfernen

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)

-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8446E27C-2812-4B97-B8EF-D155265F610C}: NameServer = 85.255.114.99,85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{E502C621-23BA-4A90-B03D-35E69D190322}: NameServer = 85.255.114.99,85.255.112.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

• Gehe auf den Button links oben "Cleaner"

• Setze Häkchen unter Reiter "Windows"

(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

• Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

• Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".

ComboFix

• Lade dir das Tool hier herunter -> KLICK

• Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

• Anleitung Combofix

Zitat:

Zitat von [GC]Sunny

@ikaruss


Bitte warte noch mit der Neuinstallation, man kann dein System mit großer Wahrscheinlichkeit bereinigen!


dafür folgendes:

[CENTER]

DNS-Einträge entfernen

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)

-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

das verstehe ich nicht ganz...
Wozu ist das gut?

Zitat:

Zitat von Ikaruss

das verstehe ich nicht ganz...
Wozu ist das gut?

Das Programm fixewareout wird dein DNS im System erneuern und neu konfigurieren.

Derzeit werden alle Daten nicht nur über deinen Provider geleitet, sondern anschliessend über einen Server im Ausland umgeleitet.
Dieser Server filtert diverse Informationen aus deinen gesendeten und empfangenen Daten im Internet.

Ist das normal?
Oder kann das auch positiv sein oder MUSS ich das machen?

Ich finde diesen Punkt in der Systemsteuerung nicht wirklich...

Wie lange muss ich für deine "AbarbeitListe" Zeit aufwenden?
So um die 2 Stunden wären Optimal.

Zitat:

Zitat von Ikaruss

Ist das normal?
Oder kann das auch positiv sein oder MUSS ich das machen?

Ja! Das solltest du sogar unbedingt machen, denn es wird fremde Leute können derzeit ganz genau protokollieren was, wann, wie und wo du im Internet machst.

Zitat:

Ich finde diesen Punkt in der Systemsteuerung nicht wirklich...

Diesen Punkt brauchst du auch noch nicht finden, das ist nur als Info gedacht falls nach der Bereinigung dein Internet nicht mehr funktioniert!


Mach bitte hier weiter:

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)

-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

(Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8446E27C-2812-4B97-B8EF-D155265F610C}: NameServer = 85.255.114.99,85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{E502C621-23BA-4A90-B03D-35E69D190322}: NameServer = 85.255.114.99,85.255.112.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129

Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"
Der Rechner startet nun neu...

Zitat:

Zitat von boston

hallo,
bitte mal folgende datei

per copy/paste(nicht durchsuchen) bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
hochladen und die kompletten ergebnisse posten.
ich würde bei umleitung über die ukraine

aber auf jeden fall neuaufsetzen. der rechner gehört nicht mehr dir.

ähm eine Frage zu dir..
wie kann ich die datei ohne durchsuchen scannen??

[GC]Sunny
da bin ich froh dies zu hören nur klingt das nach ner menge Zeitaufwand und nach vielen Downloads die mein Vater sicher nicht gern sehen will.
Denn beim alten haben wir dann Spywarefighter geladen und der PC war endgültig kaputt...
Besteht kein Risiko und kann man diese Programme auch wieder vollstädig löschen?
Soll ich diese Datei jetzt scannen lassen?

LG Ikaruss

Zitat:

Zitat von Ikaruss

[GC]Sunny
da bin ich froh dies zu hören nur klingt das nach ner menge Zeitaufwand und nach vielen Downloads die mein Vater sicher nicht gern sehen will.

Ein wenig Zeit wird das ganze schon kosten....

Zitat:

Denn beim alten haben wir dann Spywarefighter geladen und der PC war endgültig kaputt...
Besteht kein Risiko und kann man diese Programme auch wieder vollstädig löschen?

Ein Risiko besteht bei einem infizierten System immer, aber die Programme welche ich dir empfohlen habe sind eigentlich recht leicht wieder zu löschen.
Eine Sache ist jedenfalls Fakt, die schädlichen Programme auf deinem Computer müssen entfernt werden!

Trojan-Downloader.Swizzor [X]
Trojan-Downloader.JS.Psyme.kf [X]
virus.js.xorer.j [X]
RemoteAccess.Win32.RealVNC [X]
Trojan.JS.Seeker-based [X]

*Mit [X] gekennzeichnete Viren werden von Ikarus nicht mehr gefunden.

Ich werde aber trotzdem noch schauen ob ich was finde...




wie kann ich die datei ohne durchsuchen scannen?? boston

hallo, du suchst
VirusTotal - Kostenloser online Viren- und Malwarescanner
auf und kopierst
das (natürlich ohne "zitat:")

Zitat:

C:\syslog\run.exe

in das feld

Zitat:

eine datei hochladen

dann

Zitat:

senden der datei

und dann bitte die kompletten ergebnisse posten.

Ok das hatte ich auch vor aber es war ein bisschen seltsam erkärt...

So nun die Ergebnisse: (was ist jetzt zu tun?)

Zitat:

Datei run.exe empfangen 2008.04.05 20:59:47 (CET)

Ergebnis: 3/31 (9.68%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.4.1 2008.04.04 -
AntiVir 7.6.0.81 2008.04.04 -
Authentium 4.93.8 2008.04.05 could be infected with an unknown virus
Avast 4.7.1098.0 2008.04.04 -
AVG 7.5.0.516 2008.04.05 SHeur.MOE
BitDefender 7.2 2008.04.05 -
CAT-QuickHeal 9.50 2008.04.05 -
ClamAV 0.92.1 2008.04.05 -
DrWeb 4.44.0.09170 2008.04.05 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5672 2008.04.04 -
Ewido 4.0 2008.04.05 -
F-Prot 4.4.2.54 2008.04.05 -
F-Secure 6.70.13260.0 2008.04.05 -
FileAdvisor 1 2008.04.05 -
Fortinet 3.14.0.0 2008.04.05 -
Ikarus T3.1.1.20 2008.04.05 -
Kaspersky 7.0.0.125 2008.04.05 -
McAfee 5267 2008.04.04 -
Microsoft 1.3408 2008.04.05 -
NOD32v2 3004 2008.04.05 -
Norman 5.80.02 2008.04.04 -
Panda 9.0.0.4 2008.04.05 Suspicious file
Prevx1 V2 2008.04.05 -
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.05 -
Sunbelt 3.0.1032.0 2008.04.05 -
TheHacker 6.2.92.265 2008.04.04 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.05 -
Webwasher-Gateway 6.6.2 2008.04.04 -
weitere Informationen
File size: 490777 bytes
MD5...: 22de1c6530f8cb98ec3aabcc8ba82eeb
SHA1..: f4e73bc669976783d8a59565ec6f88a8127686a7
SHA256: 8048e3ae3dd5bd6e0bc2847b05df496473c1ce83eadde88be3ad781b6728303f
SHA512: d8daf7d3e7da7ddebd156346a2c262a9330a49d11c979f9c61a049ad427fdc6f
9d27ddf7cbe3376e33d05eb71fdb9cf266a8efe1386c3ac0819a324e849dc2f7
PEiD..: MinGW GCC 3.x
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401240
timedatestamp.....: 0x46bf422a (Sun Aug 12 17:23:54 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3e1d0 0x3e200 6.10 84c336547041a46ba355805c396e20c7
.data 0x40000 0x3c0 0x400 1.40 1888f66d77dc63fdbc5be47410bbfdd3
.rdata 0x41000 0x2798 0x2800 5.24 9c2420fa127df28a8c26ab2d1f724400
.bss 0x44000 0x4cf0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x49000 0x9a0 0xa00 4.80 e29abe87ba63c7edcc82c859016d538c
.rsrc 0x4a000 0x3a0 0x400 3.54 dd1632c4496e1d796c276cd9ed0da367

( 6 imports )
> ADVAPI32.DLL: RegCloseKey, RegOpenKeyExA, RegSetValueExA
> KERNEL32.dll: AddAtomA, CopyFileA, CreateSemaphoreA, DeleteFileA, ExitProcess, FindAtomA, GetAtomNameA, GetLastError, GetModuleFileNameA, InterlockedDecrement, InterlockedIncrement, ReleaseSemaphore, SetLastError, SetUnhandledExceptionFilter, Sleep, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, WaitForSingleObject
> msvcrt.dll: _fdopen, _mkdir, _read, _strdup, _write
> msvcrt.dll: __getmainargs, __mb_cur_max, __p__environ, __p__fmode, __set_app_type, _assert, _cexit, _ctype, _errno, _fstati64, _iob, _isctype, _lseeki64, _onexit, _pctype, _setmode, _strnicmp, _vsnprintf, abort, atexit, fclose, fflush, fgets, fopen, fprintf, free, getenv, localeconv, malloc, memchr, memcpy, memmove, memset, printf, setlocale, setvbuf, signal, strcat, strcmp, strcoll, strcpy, strftime, strlen, strtod, strxfrm
> SHELL32.DLL: ShellExecuteA
> USER32.dll: FindWindowA, FindWindowExA, GetAsyncKeyState, GetKeyState, MessageBoxA, PostMessageA, SendMessageA, SetForegroundWindow

( 0 exports )

auch noch eine frage zu combofix:
da steht ja "ungefähr 1 computer von 100 kommt heil durch" was soll das heissen? dann ist das Prgramm ja für den ****

hallo,

die datei, die ich zur prüfung vorgeschlagen hatte, konnte ich nicht einordnen,
sie hat aber wohl nichts mit dem befall deines rechners zu tun,
was auch in der vt-auswertung zu sehen ist.

Zitat:

"ungefähr 1 computer von 100 kommt heil durch"

das ist genau andersherum gemeint



weiter ist mir ist kein fall bekannt, wo der rechner bei sachgemäßer
anwendung von combofix schaden genommen hat. sunny hat dir ja schon
die anleitung verlinkt. wichtig ist, daß du während des scans nichts am computer machst
und alle programme, guards etc. geschlossen sind.

du bist bei sunny schon in guten händen.

Ok Fixwareout währe erledigt...
Hier das Ergebnis:

Zitat:

Username "Ikaruss" - 07.04.2008 14:20:21 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdeiy.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.114.99 85.255.112.129" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{8446E27C-2812-4B97-B8EF-D155265F610C}
"nameserver"="85.255.114.99,85.255.112.129" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{E502C621-23BA-4A90-B03D-35E69D190322}
"nameserver"="85.255.114.99,85.255.112.129" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{3C1DB63D-0A58-4879-999C-36DB1A6AEF34}
"DhcpNameServer"="85.255.114.99,85.255.112.129" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{E502C621-23BA-4A90-B03D-35E69D190322}
"DhcpNameServer"="85.255.114.99,85.255.112.129" <Value cleared.

Der DNS-Auflösungscache wurde geleert.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINDOWS\Temp\kdeiy.ren 76288 04.08.2004

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"Ai Remote Help"="\"C:\\Program Files\\ASUS\\AI Remote\\AiRc.exe\""
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\Core\\smax4pnp.exe"
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"JMB36X IDE Setup"="C:\\WINDOWS\\JM\\JMInsIDE.exe"
"JMB36X Configure"="C:\\WINDOWS\\system32\\JMRaidSetup.exe boot"
"AsusStartupHelp"="C:\\Programme\\ASUS\\AASP\\1.00.24\\AsRunHelp.exe"
"Ai Nap"="\"C:\\Program Files\\ASUS\\Ai Suite\\AiNap\\AiNap.exe\""
"ASUS ASAP USB"="C:\\Programme\\ASUS\\ASAP\\asapusb.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"TrueImageMonitor.exe"="C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe"
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"EPSON Stylus CX3200"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S10IC2.EXE /P19 \"EPSON Stylus CX3200\" /O6 \"USB001\" /M \"Stylus CX3200\""
"MMTray"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe"
"Hofer_FotoSuite_Download"="\"C:\\Programme\\Hofer Foto Service\\Hofer_Foto_Service\\FotoSuite.exe\" /autorun"
"Ikarus-GuardX"="C:\\Programme\\Ikarus\\virus utilities\\bin\\guardxkickoff.exe"
"Drivers"="C:\\syslog\\run.exe"
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"ICQ"="\"C:\\Programme\\ICQ6\\ICQ.exe\" silent"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Mit Hijackths kann ich diese nicht mehr fixen da diese schon weg sind...

Wo soll ich den CCleaner downloaden unter deinem Link kostet der ja was oder?

Was sagt mir dieses Fixwareout nun?
und wie kann ich es jetzt wieder entfernen?

Zitat:

schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein (combofix)

wie soll ich virenprogramm deaktivieren und firewall und wozu?

Bitte alle Fragen beantworten.

hallo,

weis jetzt nicht ob das gewünscht ist aber

zu combofix

Zitat:

Zitat von Ikaruss

wie soll ich virenprogramm deaktivieren und firewall und wozu?

guckst du hier Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ccleaner kostet nix zumindest die homeversion nicht.

gruß

Das heißt, du hast Combofix ausgeführt und dieser hat deinen Rechner neugestartet?

Schau bitte mal, ob du unter C: eine Datei namens Combofix.txt findest. Wenn ja, poste bitte den Inhalt.

Das hier versteh ich nicht ganz:

Zitat:

Sprich die Anzeige Scan 3 Minuten her heisst nur noch Scan her

"Scan 3 Minuten her" zeigt dir an, wann du das letzte Mal gescannt hast? Was passiert, wenn du jetzt nochmal scannen lässt? Vielleicht erscheint die Anzeige dann weider?

lg myrtille