Ich habe schon seit längerem Probleme mit einigen Viren.
Auf dem alten Rechner waren auch schon welche drauf und das führte dazu dass der alte Rechner jedes Netzteil zerschrottete.
So jetzt habe ich einen neuen und das Virenprogramm Ikarus Virus Utilities.
Ich lasse es alle paar Wochen mal durchlaufen und es findet immer wieder neue Viren.
Zu den Problemfällen komme ich jetzt einmal (PS: formatieren wäre ungünsteig da sehr viel auf dem Rechner liegt)

___________
Da wäre erstmal der Trojaner den ich nie wegbekomme, er verschiebt sich immer nur.
Trojan-Downloader.Swizzor
Ich habe keinen Plan was ich tun sollte
___________
Dann die 2 neuen Funde:
Trojan-Downloader.JS.Psyme.kf
Den bekomme ich nicht weg und der kommt 100ert fach wieder.
___________
virus.js.xorer.j
er und der oben genannte Virus werden immer bei vBulletin basierten Foren angezeigt (meist 5 Fünde)
Handelt es sich hierbei um einen Fehler?
Ich habe woanders auch schon gelesen dass er das selbe Problem hat, aber ihm wurde noch nicht geholfen.
___________
und auch ein neuer gefundener Virus
RemoteAccess.Win32.RealVNC
(ich weiss aber noch nicht ob dieser schon weg ist...)


Ich hoffe ihr könnt mir helfen...
Ich finde echt nirgends Informationen zum beseitigen der Viren.

Hi,

bitte combofix und danach HJ-Log erstellen und posten (siehe Signatur).

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Hi Ikarrus und Herzlick Willkommen

Bitte mach mal als erstes ein HijackThis Logfile und poste es hier (link in meiner Signatur)
Danch bitte Combofix laufen lassen und Logfile posten. Bevor du aber Combofix laufen lässt bitte CCleaner anwenden.
Danach bitte auch Malwarebytes laufen lassen (ebenfalls in meiner Signatur) und den Report posten.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:51:06, on 04.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Ikarus\virus utilities\bin\guardxservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\AI Remote\AiRc.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Ikarus\virus utilities\bin\guardxkickoff.exe
C:\syslog\run.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Program Files\ASUS\AI Remote\AiRemote.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KLK50FAL\HiJackThis[1].exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sms.at/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ai Remote Help] "C:\Program Files\ASUS\AI Remote\AiRc.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.24\AsRunHelp.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [ASUS ASAP USB] C:\Programme\ASUS\ASAP\asapusb.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Hofer_FotoSuite_Download] "C:\Programme\Hofer Foto Service\Hofer_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [Ikarus-GuardX] C:\Programme\Ikarus\virus utilities\bin\guardxkickoff.exe
O4 - HKLM\..\Run: [Drivers] C:\syslog\run.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8446E27C-2812-4B97-B8EF-D155265F610C}: NameServer = 85.255.114.99,85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{E502C621-23BA-4A90-B03D-35E69D190322}: NameServer = 85.255.114.99,85.255.112.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe (file missing)
O23 - Service: GuardX - Ikarus Security Software GmbH - C:\Programme\Ikarus\virus utilities\bin\guardxservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8060 bytes
         

Ich hoffe ihr könnt mir helfen dieses HJT läufgt ja nur eine millisekunde...

Mir machen diese Viren ANgst es werden ständig mehr
Virusliste (Beginn: 4. April 2008)

Trojan-Downloader.Swizzor
Trojan-Downloader.JS.Psyme.kf
virus.js.xorer.j
RemoteAccess.Win32.RealVNC
Trojan.JS.Seeker-based
(ICh weiss aber nicht ob diese schon weg sind ich werde morgen noch einmal einen Ikarus Scan machen...)

hallo,
bitte mal folgende datei

Zitat:

C:\syslog\run.exe

per copy/paste(nicht durchsuchen) bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
hochladen und die kompletten ergebnisse posten.
ich würde bei umleitung über die ukraine

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8446E27C-2812-4B97-B8EF-D155265F610C}: NameServer = 85.255.114.99,85.255.112.129

aber auf jeden fall neuaufsetzen. der rechner gehört nicht mehr dir.

@ikaruss


Bitte warte noch mit der Neuinstallation, man kann dein System mit großer Wahrscheinlichkeit bereinigen!


dafür folgendes:

DNS-Einträge entfernen

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)

-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8446E27C-2812-4B97-B8EF-D155265F610C}: NameServer = 85.255.114.99,85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{E502C621-23BA-4A90-B03D-35E69D190322}: NameServer = 85.255.114.99,85.255.112.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.129

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

• Gehe auf den Button links oben "Cleaner"

• Setze Häkchen unter Reiter "Windows"

(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

• Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

• Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".

ComboFix

• Lade dir das Tool hier herunter -> KLICK

• Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

• Anleitung Combofix

Zitat:

Zitat von boston

hallo,
bitte mal folgende datei

per copy/paste(nicht durchsuchen) bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
hochladen und die kompletten ergebnisse posten.
ich würde bei umleitung über die ukraine

aber auf jeden fall neuaufsetzen. der rechner gehört nicht mehr dir.

ähm eine Frage zu dir..
wie kann ich die datei ohne durchsuchen scannen??

[GC]Sunny
da bin ich froh dies zu hören nur klingt das nach ner menge Zeitaufwand und nach vielen Downloads die mein Vater sicher nicht gern sehen will.
Denn beim alten haben wir dann Spywarefighter geladen und der PC war endgültig kaputt...
Besteht kein Risiko und kann man diese Programme auch wieder vollstädig löschen?
Soll ich diese Datei jetzt scannen lassen?

LG Ikaruss

Zitat:

Zitat von Ikaruss

[GC]Sunny
da bin ich froh dies zu hören nur klingt das nach ner menge Zeitaufwand und nach vielen Downloads die mein Vater sicher nicht gern sehen will.

Ein wenig Zeit wird das ganze schon kosten....

Zitat:

Denn beim alten haben wir dann Spywarefighter geladen und der PC war endgültig kaputt...
Besteht kein Risiko und kann man diese Programme auch wieder vollstädig löschen?

Ein Risiko besteht bei einem infizierten System immer, aber die Programme welche ich dir empfohlen habe sind eigentlich recht leicht wieder zu löschen.
Eine Sache ist jedenfalls Fakt, die schädlichen Programme auf deinem Computer müssen entfernt werden!

Trojan-Downloader.Swizzor [X]
Trojan-Downloader.JS.Psyme.kf [X]
virus.js.xorer.j [X]
RemoteAccess.Win32.RealVNC [X]
Trojan.JS.Seeker-based [X]

*Mit [X] gekennzeichnete Viren werden von Ikarus nicht mehr gefunden.

Ich werde aber trotzdem noch schauen ob ich was finde...




wie kann ich die datei ohne durchsuchen scannen?? boston

hallo, du suchst
VirusTotal - Kostenloser online Viren- und Malwarescanner
auf und kopierst
das (natürlich ohne "zitat:")

Zitat:

C:\syslog\run.exe

in das feld

Zitat:

eine datei hochladen

dann

Zitat:

senden der datei

und dann bitte die kompletten ergebnisse posten.

Ok das hatte ich auch vor aber es war ein bisschen seltsam erkärt...

So nun die Ergebnisse: (was ist jetzt zu tun?)

Zitat:

Datei run.exe empfangen 2008.04.05 20:59:47 (CET)

Ergebnis: 3/31 (9.68%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.4.1 2008.04.04 -
AntiVir 7.6.0.81 2008.04.04 -
Authentium 4.93.8 2008.04.05 could be infected with an unknown virus
Avast 4.7.1098.0 2008.04.04 -
AVG 7.5.0.516 2008.04.05 SHeur.MOE
BitDefender 7.2 2008.04.05 -
CAT-QuickHeal 9.50 2008.04.05 -
ClamAV 0.92.1 2008.04.05 -
DrWeb 4.44.0.09170 2008.04.05 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5672 2008.04.04 -
Ewido 4.0 2008.04.05 -
F-Prot 4.4.2.54 2008.04.05 -
F-Secure 6.70.13260.0 2008.04.05 -
FileAdvisor 1 2008.04.05 -
Fortinet 3.14.0.0 2008.04.05 -
Ikarus T3.1.1.20 2008.04.05 -
Kaspersky 7.0.0.125 2008.04.05 -
McAfee 5267 2008.04.04 -
Microsoft 1.3408 2008.04.05 -
NOD32v2 3004 2008.04.05 -
Norman 5.80.02 2008.04.04 -
Panda 9.0.0.4 2008.04.05 Suspicious file
Prevx1 V2 2008.04.05 -
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.05 -
Sunbelt 3.0.1032.0 2008.04.05 -
TheHacker 6.2.92.265 2008.04.04 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.05 -
Webwasher-Gateway 6.6.2 2008.04.04 -
weitere Informationen
File size: 490777 bytes
MD5...: 22de1c6530f8cb98ec3aabcc8ba82eeb
SHA1..: f4e73bc669976783d8a59565ec6f88a8127686a7
SHA256: 8048e3ae3dd5bd6e0bc2847b05df496473c1ce83eadde88be3ad781b6728303f
SHA512: d8daf7d3e7da7ddebd156346a2c262a9330a49d11c979f9c61a049ad427fdc6f
9d27ddf7cbe3376e33d05eb71fdb9cf266a8efe1386c3ac0819a324e849dc2f7
PEiD..: MinGW GCC 3.x
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401240
timedatestamp.....: 0x46bf422a (Sun Aug 12 17:23:54 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3e1d0 0x3e200 6.10 84c336547041a46ba355805c396e20c7
.data 0x40000 0x3c0 0x400 1.40 1888f66d77dc63fdbc5be47410bbfdd3
.rdata 0x41000 0x2798 0x2800 5.24 9c2420fa127df28a8c26ab2d1f724400
.bss 0x44000 0x4cf0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x49000 0x9a0 0xa00 4.80 e29abe87ba63c7edcc82c859016d538c
.rsrc 0x4a000 0x3a0 0x400 3.54 dd1632c4496e1d796c276cd9ed0da367

( 6 imports )
> ADVAPI32.DLL: RegCloseKey, RegOpenKeyExA, RegSetValueExA
> KERNEL32.dll: AddAtomA, CopyFileA, CreateSemaphoreA, DeleteFileA, ExitProcess, FindAtomA, GetAtomNameA, GetLastError, GetModuleFileNameA, InterlockedDecrement, InterlockedIncrement, ReleaseSemaphore, SetLastError, SetUnhandledExceptionFilter, Sleep, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, WaitForSingleObject
> msvcrt.dll: _fdopen, _mkdir, _read, _strdup, _write
> msvcrt.dll: __getmainargs, __mb_cur_max, __p__environ, __p__fmode, __set_app_type, _assert, _cexit, _ctype, _errno, _fstati64, _iob, _isctype, _lseeki64, _onexit, _pctype, _setmode, _strnicmp, _vsnprintf, abort, atexit, fclose, fflush, fgets, fopen, fprintf, free, getenv, localeconv, malloc, memchr, memcpy, memmove, memset, printf, setlocale, setvbuf, signal, strcat, strcmp, strcoll, strcpy, strftime, strlen, strtod, strxfrm
> SHELL32.DLL: ShellExecuteA
> USER32.dll: FindWindowA, FindWindowExA, GetAsyncKeyState, GetKeyState, MessageBoxA, PostMessageA, SendMessageA, SetForegroundWindow

( 0 exports )

auch noch eine frage zu combofix:
da steht ja "ungefähr 1 computer von 100 kommt heil durch" was soll das heissen? dann ist das Prgramm ja für den ****

hallo,

die datei, die ich zur prüfung vorgeschlagen hatte, konnte ich nicht einordnen,
sie hat aber wohl nichts mit dem befall deines rechners zu tun,
was auch in der vt-auswertung zu sehen ist.

Zitat:

"ungefähr 1 computer von 100 kommt heil durch"

das ist genau andersherum gemeint



weiter ist mir ist kein fall bekannt, wo der rechner bei sachgemäßer
anwendung von combofix schaden genommen hat. sunny hat dir ja schon
die anleitung verlinkt. wichtig ist, daß du während des scans nichts am computer machst
und alle programme, guards etc. geschlossen sind.

du bist bei sunny schon in guten händen.

Ja, aber was ist jetzt mit dem run.exe?
Das ist ja auch infiziert oder?
Muss ic die Programme alle wie zB Firewall auf deaktivieren? Dann kann ja der Virus machen was er will...
Wie lange dauert das ungefähr?

Zitat:

Ja, aber was ist jetzt mit dem run.exe?
Das ist ja auch infiziert oder?

nein, ich konnte die datei nur nicht einordnen.

Zitat:

Muss ic die Programme alle wie zB Firewall auf deaktivieren? Dann kann ja der Virus machen was er will...

es hat niemand gesagt, daß du während des scans online sein sollst.

Zitat:

Wie lange dauert das ungefähr?

combofix weist daraufhin, daß es normalerweise nicht mehr als 10 minuten sind.
hast du denn ansonsten das umgesetzt, was sunny gepostet hat?

Nein noch nicht da ich derzeit noch nicht die Zeit dazu gefunden habe...

Nur was meint er Mit DNS und mit HijackThis fixen??

Kann es sein dass sich der Troajner jetzt unfindbar gemacht hat? denn auf einmal sind alle weg bei Ikarus...
naja würd mich mal über die Antwort freuen..

Achja und wie lange dauert dieses Fixwareout?
Wird das komplett installiert oder kann man das auch als ausführbare Datei starten?

Was soll ich jetzt mit run.exe tun?
Der Scan hat ja gezeigt dass sie infiziert ist oder täusche ich mich da?