|
Plagegeister aller Art und deren Bekämpfung: Virus W32/Mabezat-B beseitigen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.08.2008, 14:49 | #1 |
| Virus W32/Mabezat-B beseitigen? Hallo Experten, ich habe mir einen verflixten Virus eingefangen, anscheinend den W32/Mabezat-B Er verdoppelt sämtliche dateien, erstellt einige merkwürdige dateien wie tazebama .dll oder hook usw... Zudem blockiert er meinen Firefox browser. Nicht mal mehr antivir kann vernünftig gestartet werden, weil es beim start immer die "Fehler in der CRC Summe" meldet. Auch im Internet hab ich keine vernünftigen Problembeseitigungen gefunden, ich hoffe nun, dass ihr mir hier irgendwie weiterhelfen könnt, denn ein Neuaufsetzen des Systems wäre wegen meiner Daten auf dem Rechner ungünstig. Und ein Datenbackup kann ich auch nicht machen, denn der Virus verseucht auch USB - Sticks und Festplatten.... Hier meine Hiijack - logfile: Logfile of HijackThis v1.99.1 Scan saved at 15:45:41, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\tazebama.dl_ C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\cidaemon.exe C:\Applicationen\applikationen\security\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.at O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.msn.at O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214757229250 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137061656671 O17 - HKLM\System\CCS\Services\Tcpip\..\{8D432709-716A-4BEC-BCC7-4051E3F16757}: NameServer = 62.211.69.150 212.48.4.15 O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Grüße an alle Helferlein usw.... Günner |
07.08.2008, 15:57 | #2 |
| Virus W32/Mabezat-B beseitigen? Hi,
__________________das wird "schwierig". Anscheinend kopiert er die EXE-Dateien, infiziert die kopierten Exen, verschlüsselt die originale Exe, kopiert sich auf alle Laufwerke uns schreibt eine angepasste autostart.inf, die ihn automatisch startet... Das sieht nach Neuaufsetzen aus.... Du kannst versuchen die Daten per Boot-CD zu retten (und eine Bereinigung versuchen), alternativ über den abgesicherten Modus (nur wenn dann eine infizierte exe gestartet wird, ist das auch wieder hinfällig...)... Weiterhin musst Du HJ bzw. combofix-logs anonymisieren, d.h. Links dürfen nicht aufrufbar sein (http:\www -> h**p:\ und ..\Mustermann\Eigene Dateien -> ..\***\Eigene Dateien, sonst hilft Dir keiner... chris
__________________ |
08.08.2008, 08:59 | #3 |
| Virus W32/Mabezat-B beseitigen? Hallo Chris,
__________________danke für deine ausführlichen Antworten, ich werde nun einmal versuchen mit diesen Proggies mbam und combofix im abgesichertten modus was reissen. auf jeden Fall poste ich hier dann den Reoprt, mal schaun was es bringt. danke dir inzwischen, Lg Günner |
08.08.2008, 12:10 | #4 |
| Virus W32/Mabezat-B beseitigen? Hi, wenn das Teil tatsächlich auch Dokumente verschlüsselt, dann können nicht einmal die Daten mehr gerettet werden... Viel Glück, chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
08.08.2008, 12:19 | #5 |
Virus W32/Mabezat-B beseitigen? Doch er kann die Daten retten, da es nur einen Encrypter auf Trojanerbasis gibt: Gpcode Passender Dechiffriertool ist im Link weiter unten zu finden. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
08.08.2008, 12:36 | #6 |
| Virus W32/Mabezat-B beseitigen? @DarkViruz Hi, hab nicht gewusst das der passt... Gesucht aber nichts passendes gefunden... Mal sehen was rauskommt; Hah, aber wenn Du schon mal da bist, ich bin die nächsten beiden Tage in Berlin und daher nicht zu erreichen... Will sagen: -> Du könne bitte weitermachen... Gruß, chris
__________________ --> Virus W32/Mabezat-B beseitigen? |
08.08.2008, 12:51 | #7 |
Virus W32/Mabezat-B beseitigen? Kein Problem, ich wollte mich sowieso nicht aktiv einmischen, aber bevor der TO all seine Daten einfach so löscht. Naja, ich übernehm hier, wenn du so willst. mfg Edit: Problematischer ist es bei dem Gpcode.ak
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
09.08.2008, 11:27 | #8 |
| Virus W32/Mabezat-B beseitigen? Hallo liebe Leute, also nun hab ich die neueste Version von Antivr, Adaware ausprobiert, hat absolut nichts geholfen. Dann habe ich auf euren Rat hin "mbam" und "combofix" ausprobiert, hat leider auch nichts geholfen... Zudem im Net gesucht, das gpcode versucht, hat mir alles alles nichts geholfen, der Virus infiziert alles neu, legt sogar zusehends Programme lahm, wie Firefox oder Ativr... Ich bin total am Ende mit meinem Latein, ist es komplett nicht möglich, diesen ver**** Schädling wegzubringen vom Rechner?? Nicht mal Daten kann ich retten, der infiziert sämtliche Usb - Sticks und Laufwerke.... einzig Dokumente ausdrucken bleibt mir noch, wenn ich was retten will ... ich bin geschafft ... Lg Günner |
09.08.2008, 11:29 | #9 |
| Virus W32/Mabezat-B beseitigen? ... und wie mir Chris vorgeschlagen hat, Zusätzlich hier noch der Report, den Combofix nach dem Scan abgelegt hat. ComboFix 08-08-07.05 - gf 2008-08-08 13:08:49.1 - NTFSx86 MINIMAL ausgeführt von:: C:\Dokumente und Einstellungen\gf\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf C:\WINDOWS\system\smvss.exe C:\zPharaoh.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-07-08 bis 2008-08-08 )))))))))))))))))))))))))))))) . 2008-08-08 12:23 . 2006-01-12 11:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS 2008-08-08 12:23 . 2006-01-27 12:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-08-08 12:23 . 2006-01-12 12:24 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData 2008-08-08 12:23 . 2006-01-11 12:20 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-08-08 12:23 . 2006-01-11 12:20 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-08-08 12:23 . 2008-08-08 13:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-08-08 12:23 . 2006-01-27 12:17 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-08-08 12:23 . 2006-01-27 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-08-08 12:23 . 2006-01-11 12:20 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-08-08 12:23 . 2006-01-27 13:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink 2008-08-08 12:23 . 2006-01-12 11:52 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead 2008-08-08 12:23 . 2006-01-27 12:17 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-08-08 12:23 . 2008-08-08 12:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-08-08 12:06 . 2008-08-08 13:12 155,311 -r-hs---- C:\zPharaoh.exe 2008-08-08 10:52 . 2008-08-08 10:52 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-08-08 10:41 . 2008-08-08 10:41 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-08 10:41 . 2008-08-08 10:41 <DIR> d-------- C:\Dokumente und Einstellungen\gf\Anwendungsdaten\Malwarebytes 2008-08-08 10:41 . 2008-08-08 10:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-08 10:41 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-08 10:41 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-07 13:23 . 2008-08-08 10:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-08-01 12:05 . 2008-08-01 12:05 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-08-01 12:05 . 2008-08-01 12:05 1,409 --a------ C:\WINDOWS\QTFont.for 2008-07-28 16:15 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-07-28 16:15 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-07-27 17:43 . 2008-07-27 17:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-07-25 19:48 . 2008-07-25 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\gf\Anwendungsdaten\Macrovision 2008-07-25 10:45 . 2008-07-25 10:52 <DIR> d-------- C:\Dokumente und Einstellungen\gf\dwhelper 2008-07-25 10:13 . 2007-11-05 11:56 101,120 -ra------ C:\WINDOWS\system32\drivers\ewusbmdm.sys 2008-07-25 10:12 . 2008-07-25 10:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision 2008-07-11 18:49 . 2008-07-11 18:50 <DIR> d-------- C:\Programme\QuickTime 2008-07-11 18:31 . 2008-07-11 18:32 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-08 11:00 --------- d-----w C:\Dokumente und Einstellungen\gf\Anwendungsdaten\OpenOffice.org2 2008-08-07 13:04 925,039 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe 2008-08-07 13:04 317,295 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe 2008-08-07 11:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-08-06 11:51 485,231 -c--a-w C:\WINDOWS\IsUn0407.exe 2008-08-06 11:51 420,624 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_140.exe 2008-08-06 11:51 226,159 ----a-w C:\WINDOWS\system32\UnInW2k.exe 2008-08-06 11:51 1,320,815 -c--a-w C:\WINDOWS\system32\ntbackup.exe 2008-08-06 11:51 1,233,839 -c--a-w C:\WINDOWS\Help\SBSI\Training\orun32.exe 2008-07-27 15:43 --------- d-----w C:\Programme\Lavasoft 2008-07-25 08:28 --------- d-----w C:\Programme\Online-Dienste 2008-07-22 07:29 --------- d-----w C:\Programme\DScaler 2008-07-11 16:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-07-11 16:33 --------- d-----w C:\Programme\Windows Media Connect 2 2008-07-07 11:36 234,351 -c--a-w C:\WINDOWS\SOUNDMAN.EXE 2008-07-03 14:29 --------- d-----w C:\Programme\Foxit Software 2008-07-03 08:22 --------- d-----w C:\Dokumente und Einstellungen\gf\Anwendungsdaten\FileZilla 2008-07-01 12:28 --------- d-----w C:\Programme\EASY Flash Player 2008-06-23 16:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard 2008-06-16 17:35 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-06-15 09:55 --------- d-----w C:\Dokumente und Einstellungen\gf\Anwendungsdaten\Talkback 2008-06-15 09:40 --------- d-----w C:\Dokumente und Einstellungen\gf\Anwendungsdaten\Thunderbird 2006-11-27 21:51 26,064 -c--a-w C:\Dokumente und Einstellungen\gf\Anwendungsdaten\GDIPFONTCACHEV1.DAT . ------- Sigcheck ------- 2008-08-08 13:12 1191791 b8867aa382b62f3cda9a136ea23f75f9 C:\WINDOWS\explorer.exe 2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\SoftwareDistribution\Download\e94b50580b3d9c69a3c27b7653239432\sp2gdr\explorer.exe 2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\SoftwareDistribution\Download\e94b50580b3d9c69a3c27b7653239432\sp2qfe\explorer.exe 2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\system32\dllcache\explorer.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= vdrcodec.dll "MSVIDEO"= pctvcap.dll "VIDC.PIXL"= PCLEpixl.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^USB Sharing.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\USB Sharing.lnk backup=C:\WINDOWS\pss\USB Sharing.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^gf^Startmenü^Programme^Autostart^Pinnacle Systems - Studio-Produktfamilie.lnk] path=C:\Dokumente und Einstellungen\gf\Startmenü\Programme\Autostart\Pinnacle Systems - Studio-Produktfamilie.lnk backup=C:\WINDOWS\pss\Pinnacle Systems - Studio-Produktfamilie.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM] --a------ 2008-08-07 14:14 378655 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a--c--- 2008-07-07 13:35 1850735 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a--c--- 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-08-06 14:43 439151 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a--c--- 2006-03-27 16:18 12288 C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG] --a------ 2008-08-06 14:49 360815 C:\Programme\Windows Media Player\wmpnscfg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a--c--- 2008-07-07 13:36 234351 C:\WINDOWS\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer] --a------ 2004-01-15 14:33 49152 C:\WINDOWS\system32\VTTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\WINDOWS\\system32\\fxsclnt.exe"= "C:\\Programme\\NetMeeting\\Conf.exe"= "C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"= "C:\\Programme\\eMule\\emule.exe"= R1 pctvNT;Studio PCTV;C:\WINDOWS\system32\DRIVERS\pctvW2k.sys [2000-02-08 19:56] S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 13:13] S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 13:14] S3 MaRdPnp;MaRdPnp;C:\WINDOWS\system32\DRIVERS\MaRdP2K.sys [2004-09-13 14:11] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C] \Shell\AutoRun\command - C:\zPharaoh.exe \Shell\explore\command - C:\zPharaoh.exe \Shell\open\command - C:\zPharaoh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\zPharaoh.exe \Shell\explore\command - D:\zPharaoh.exe \Shell\open\command - D:\zPharaoh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\AutoRun\command - E:\zPharaoh.exe \Shell\explore\command - E:\zPharaoh.exe \Shell\open\command - E:\zPharaoh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a0ad8fca-570b-11dd-b208-0013d3dec2fc}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a0ad8fcb-570b-11dd-b208-0013d3dec2fc}] \Shell\AutoRun\command - H:\StartVMCLite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9d62dc8-aba7-11da-a710-0013d3dec2fc}] \Shell\AutoRun\command - G:\zPharaoh.exe \Shell\explore\command - G:\zPharaoh.exe \Shell\open\command - G:\zPharaoh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5b7d398-aadd-11da-a70f-806d6172696f}] \Shell\AutoRun\command - C:\zPharaoh.exe \Shell\explore\command - C:\zPharaoh.exe \Shell\open\command - C:\zPharaoh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5b7d399-aadd-11da-a70f-806d6172696f}] \Shell\AutoRun\command - D:\zPharaoh.exe \Shell\explore\command - D:\zPharaoh.exe \Shell\open\command - D:\zPharaoh.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5b7d39a-aadd-11da-a70f-806d6172696f}] \Shell\AutoRun\command - E:\zPharaoh.exe \Shell\explore\command - E:\zPharaoh.exe \Shell\open\command - E:\zPharaoh.exe *Newly Created Service* - CATCHME . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-AntivirusRegistration - C:\Programme\CA\Etrust Antivirus\Register.exe MSConfigStartUp-devenv - C:\WINDOWS\system\smvss.exe MSConfigStartUp-HP Software Update - C:\Programme\HP\HP Software Update\HPWuSchd2.exe MSConfigStartUp-HPDJ Taskbar Utility - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe MSConfigStartUp-Realtime Monitor - C:\PROGRA~1\CA\ETRUST~1\realmon.exe MSConfigStartUp-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe MSConfigStartUp-ZoneAlarm Client - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe . ------- Zusätzlicher Scan ------- . FireFox -: Profile - ****\gf\Anwendungsdaten\Mozilla\Firefox\Profiles\jeu4h173.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - h ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-08 13:11:59 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-08 13:15:34 ComboFix-quarantined-files.txt 2008-08-08 11:15:21 Pre-Run: 5,362,962,432 Bytes frei Post-Run: 5,297,139,712 Bytes frei 200 --- E O F --- 2008-07-01 09:14:16 |
11.08.2008, 10:23 | #10 |
| Virus W32/Mabezat-B beseitigen? Hi, bitte Boot-CD auf einem sauberen Rechner zusammenstellen (setzt voraus, dass Du über eine XP-CD oder Recovery-CD verfügst! Boot-CD erstellen: Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!). Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann. Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. Danach von CD booten (ev. im BIOS die Bootreihenfolge umstellen). Dann die Scanner drüber jagen, keine Programme von der HDD ausführen! Wenn jetzt ein Stick angehängt wird, dann sollte er sauber sein und Du kannst gefahrlos kopieren, prüfen ob die kopierten Daten virenfrei sind! Am besten CD brennen! Wenn Du von CD booten kannst: Ersetzte %UserProfile% bzw. [UserName]durch Dein Kürzel bzw. prüfe die Pfade für alle Benutzer, einschließlich "Administrator", "gf",... Suche auch Global über alle Laufwerke nach diesen Namen und lösche sie überall wo Du sie findest! Files löschen: Code:
ATTFilter C:\Dokumente und Einstellungen\hook.dl_ C:\Dokumente und Einstellungen\tazebama.dl_ C:\Dokumente und Einstellungen\tazebama.dll Userspezifische Pfade des Wurms: %UserProfile%\Start Menu\Programme\Startup\zPharoh.exe %UserProfile%\Lokale Einstellungen\Anwendungsdaten\Microsoft\CD Burning\zPharaoh.exe %UserProfile%\Lokale Einstellungen\Anwendungsdaten\Microsoft\CD Burning\autorun.inf C:\Dokumente und Einstellungen\[USER NAME]\Anwendungsdaten\tazebama C:\Dokumente und Einstellungen\[USER NAME]\Anwendungsdaten\tazebama\tazebama.log C:\Dokumente und Einstellungen\[USER NAME]\Anwendungsdaten\tazebama\zPharaoh.dat Kopie auf allen Laufwerken, mit entsprechender "autorun"-Anweisung! C:\zPharaoh.exe C:\autorun.inf D:\zPharaoh.exe D:\autorun.inf E:\zPharaoh.exe E:\autorun.inf Folgende Schlüssel über Remoteeditor suche und löschen (dazu den systemhive laden): [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{e5b7d39a-aadd-11da-a70f-806d6172696f}] [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{e5b7d399-aadd-11da-a70f-806d6172696f}] [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{e5b7d398-aadd-11da-a70f-806d6172696f}] [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{a9d62dc8-aba7-11da-a710-0013d3dec2fc}] [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\E] [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\D] [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\C] Setze folgenden Schlüssel: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "1" anlegen! Chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (11.08.2008 um 10:43 Uhr) |
28.08.2008, 10:25 | #11 |
| Virus W32/Mabezat-B beseitigen? Hallo Chris und Co... Ich danke für eure Bemühen mir zu helfen, doch leider hat alles nichts genützt, ich musste schließlich meinen rechner neu aufsetzen, die allerwichtigsten daten hab ich per mail versendet und somit zurückbekommen... Dieser Virus hat sich so intensiv ins System gefressen, ich konnte es jedenfalls nicht mehr reparieren Naja, jetzt hab ich mir mal ein Top Antivirenprogramm gekauft, ich hoffe dass jetzt Schluss ist mit Plagegeistern... *aufHolzklopf* Lg Günner |
Themen zu Virus W32/Mabezat-B beseitigen? |
.dll, antivir, avira, bho, blockiert, dateien, excel, explorer, fehler, festplatte, firefox, hijack, hijackthis, hook, internet, internet explorer, logfile, microsoft, outlook express, pdfcreator, programme, security, software, usb, virus, virus eingefangen, windows, windows xp |