Hallo Experten,

ich habe mir einen verflixten Virus eingefangen, anscheinend den
W32/Mabezat-B
Er verdoppelt sämtliche dateien, erstellt einige merkwürdige dateien wie tazebama .dll oder hook usw... Zudem blockiert er meinen Firefox browser.

Nicht mal mehr antivir kann vernünftig gestartet werden, weil es beim start immer die "Fehler in der CRC Summe" meldet. Auch im Internet hab ich keine vernünftigen Problembeseitigungen gefunden, ich hoffe nun, dass ihr mir hier irgendwie weiterhelfen könnt, denn ein Neuaufsetzen des Systems wäre wegen meiner Daten auf dem Rechner ungünstig. Und ein Datenbackup kann ich auch nicht machen, denn der Virus verseucht auch USB - Sticks und Festplatten....

Hier meine Hiijack - logfile:
Logfile of HijackThis v1.99.1
Scan saved at 15:45:41, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\tazebama.dl_
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Applicationen\applikationen\security\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.at
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.at
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214757229250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137061656671
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D432709-716A-4BEC-BCC7-4051E3F16757}: NameServer = 62.211.69.150 212.48.4.15
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Grüße an alle Helferlein usw....
Günner

Hi,

das wird "schwierig". Anscheinend kopiert er die EXE-Dateien, infiziert die kopierten Exen, verschlüsselt die originale Exe, kopiert sich auf alle Laufwerke uns schreibt eine angepasste autostart.inf, die ihn automatisch startet...

Das sieht nach Neuaufsetzen aus....

Du kannst versuchen die Daten per Boot-CD zu retten (und eine Bereinigung versuchen), alternativ über den abgesicherten Modus (nur wenn dann eine infizierte exe gestartet wird, ist das auch wieder hinfällig...)...

Weiterhin musst Du HJ bzw. combofix-logs anonymisieren, d.h. Links dürfen nicht aufrufbar sein (http:\www -> h**p:\ und ..\Mustermann\Eigene Dateien -> ..\***\Eigene Dateien, sonst hilft Dir keiner...

chris

Hallo Chris,

danke für deine ausführlichen Antworten, ich werde nun einmal versuchen mit diesen Proggies mbam und combofix im abgesichertten modus was reissen. auf jeden Fall poste ich hier dann den Reoprt, mal schaun was es bringt.

danke dir inzwischen,

Lg Günner

Hi,

wenn das Teil tatsächlich auch Dokumente verschlüsselt, dann können nicht einmal die Daten mehr gerettet werden...

Viel Glück,
chris

Doch er kann die Daten retten, da es nur einen Encrypter auf Trojanerbasis gibt: Gpcode

Passender Dechiffriertool ist im Link weiter unten zu finden.

mfg

@DarkViruz

Hi,
hab nicht gewusst das der passt... Gesucht aber nichts passendes gefunden...
Mal sehen was rauskommt;
Hah, aber wenn Du schon mal da bist, ich bin die nächsten beiden Tage in Berlin und daher nicht zu erreichen...
Will sagen: -> Du könne bitte weitermachen...

Gruß,
chris

Kein Problem, ich wollte mich sowieso nicht aktiv einmischen, aber bevor der TO all seine Daten einfach so löscht.

Naja, ich übernehm hier, wenn du so willst.

mfg

Edit: Problematischer ist es bei dem Gpcode.ak

Hallo liebe Leute,

also nun hab ich die neueste Version von Antivr, Adaware ausprobiert, hat absolut nichts geholfen.
Dann habe ich auf euren Rat hin "mbam" und "combofix" ausprobiert, hat leider auch nichts geholfen... Zudem im Net gesucht, das gpcode versucht, hat mir alles alles nichts geholfen, der Virus infiziert alles neu, legt sogar zusehends Programme lahm, wie Firefox oder Ativr...

Ich bin total am Ende mit meinem Latein, ist es komplett nicht möglich, diesen ver**** Schädling wegzubringen vom Rechner?? Nicht mal Daten kann ich retten, der infiziert sämtliche Usb - Sticks und Laufwerke.... einzig Dokumente ausdrucken bleibt mir noch, wenn ich was retten will

... ich bin geschafft ...

Lg Günner

... und wie mir Chris vorgeschlagen hat,
Zusätzlich hier noch der Report, den Combofix nach dem Scan abgelegt hat.


ComboFix 08-08-07.05 - gf 2008-08-08 13:08:49.1 - NTFSx86 MINIMAL
ausgeführt von:: C:\Dokumente und Einstellungen\gf\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\WINDOWS\system\smvss.exe
C:\zPharaoh.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-08 bis 2008-08-08 ))))))))))))))))))))))))))))))
.

2008-08-08 12:23 . 2006-01-12 11:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\WINDOWS
2008-08-08 12:23 . 2006-01-27 12:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-08 12:23 . 2006-01-12 12:24 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2008-08-08 12:23 . 2006-01-11 12:20 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-08-08 12:23 . 2006-01-11 12:20 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-08 12:23 . 2008-08-08 13:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-08 12:23 . 2006-01-27 12:17 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-08 12:23 . 2006-01-27 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-08-08 12:23 . 2006-01-11 12:20 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-08 12:23 . 2006-01-27 13:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-08-08 12:23 . 2006-01-12 11:52 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead
2008-08-08 12:23 . 2006-01-27 12:17 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-08 12:23 . 2008-08-08 12:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-08 12:06 . 2008-08-08 13:12 155,311 -r-hs---- C:\zPharaoh.exe
2008-08-08 10:52 . 2008-08-08 10:52 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-08-08 10:41 . 2008-08-08 10:41 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-08 10:41 . 2008-08-08 10:41 <DIR> d-------- C:\Dokumente und Einstellungen\gf\Anwendungsdaten\Malwarebytes
2008-08-08 10:41 . 2008-08-08 10:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-08 10:41 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-08 10:41 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 13:23 . 2008-08-08 10:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-01 12:05 . 2008-08-01 12:05 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-01 12:05 . 2008-08-01 12:05 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-28 16:15 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-07-28 16:15 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-27 17:43 . 2008-07-27 17:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-25 19:48 . 2008-07-25 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\gf\Anwendungsdaten\Macrovision
2008-07-25 10:45 . 2008-07-25 10:52 <DIR> d-------- C:\Dokumente und Einstellungen\gf\dwhelper
2008-07-25 10:13 . 2007-11-05 11:56 101,120 -ra------ C:\WINDOWS\system32\drivers\ewusbmdm.sys
2008-07-25 10:12 . 2008-07-25 10:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2008-07-11 18:49 . 2008-07-11 18:50 <DIR> d-------- C:\Programme\QuickTime
2008-07-11 18:31 . 2008-07-11 18:32 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-08 11:00 --------- d-----w C:\Dokumente und Einstellungen\gf\Anwendungsdaten\OpenOffice.org2
2008-08-07 13:04 925,039 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
2008-08-07 13:04 317,295 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
2008-08-07 11:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-06 11:51 485,231 -c--a-w C:\WINDOWS\IsUn0407.exe
2008-08-06 11:51 420,624 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_140.exe
2008-08-06 11:51 226,159 ----a-w C:\WINDOWS\system32\UnInW2k.exe
2008-08-06 11:51 1,320,815 -c--a-w C:\WINDOWS\system32\ntbackup.exe
2008-08-06 11:51 1,233,839 -c--a-w C:\WINDOWS\Help\SBSI\Training\orun32.exe
2008-07-27 15:43 --------- d-----w C:\Programme\Lavasoft
2008-07-25 08:28 --------- d-----w C:\Programme\Online-Dienste
2008-07-22 07:29 --------- d-----w C:\Programme\DScaler
2008-07-11 16:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-07-11 16:33 --------- d-----w C:\Programme\Windows Media Connect 2
2008-07-07 11:36 234,351 -c--a-w C:\WINDOWS\SOUNDMAN.EXE
2008-07-03 14:29 --------- d-----w C:\Programme\Foxit Software
2008-07-03 08:22 --------- d-----w C:\Dokumente und Einstellungen\gf\Anwendungsdaten\FileZilla
2008-07-01 12:28 --------- d-----w C:\Programme\EASY Flash Player
2008-06-23 16:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-06-16 17:35 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-06-15 09:55 --------- d-----w C:\Dokumente und Einstellungen\gf\Anwendungsdaten\Talkback
2008-06-15 09:40 --------- d-----w C:\Dokumente und Einstellungen\gf\Anwendungsdaten\Thunderbird
2006-11-27 21:51 26,064 -c--a-w C:\Dokumente und Einstellungen\gf\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

------- Sigcheck -------

2008-08-08 13:12 1191791 b8867aa382b62f3cda9a136ea23f75f9 C:\WINDOWS\explorer.exe
2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\SoftwareDistribution\Download\e94b50580b3d9c69a3c27b7653239432\sp2gdr\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\SoftwareDistribution\Download\e94b50580b3d9c69a3c27b7653239432\sp2qfe\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= vdrcodec.dll
"MSVIDEO"= pctvcap.dll
"VIDC.PIXL"= PCLEpixl.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^USB Sharing.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\USB Sharing.lnk
backup=C:\WINDOWS\pss\USB Sharing.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^gf^Startmenü^Programme^Autostart^Pinnacle Systems - Studio-Produktfamilie.lnk]
path=C:\Dokumente und Einstellungen\gf\Startmenü\Programme\Autostart\Pinnacle Systems - Studio-Produktfamilie.lnk
backup=C:\WINDOWS\pss\Pinnacle Systems - Studio-Produktfamilie.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
--a------ 2008-08-07 14:14 378655 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a--c--- 2008-07-07 13:35 1850735 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-08-06 14:43 439151 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a--c--- 2006-03-27 16:18 12288 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--a------ 2008-08-06 14:49 360815 C:\Programme\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a--c--- 2008-07-07 13:36 234351 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
--a------ 2004-01-15 14:33 49152 C:\WINDOWS\system32\VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"C:\\Programme\\eMule\\emule.exe"=

R1 pctvNT;Studio PCTV;C:\WINDOWS\system32\DRIVERS\pctvW2k.sys [2000-02-08 19:56]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 13:13]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 13:14]
S3 MaRdPnp;MaRdPnp;C:\WINDOWS\system32\DRIVERS\MaRdP2K.sys [2004-09-13 14:11]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - C:\zPharaoh.exe
\Shell\explore\command - C:\zPharaoh.exe
\Shell\open\command - C:\zPharaoh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\zPharaoh.exe
\Shell\explore\command - D:\zPharaoh.exe
\Shell\open\command - D:\zPharaoh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\zPharaoh.exe
\Shell\explore\command - E:\zPharaoh.exe
\Shell\open\command - E:\zPharaoh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\StartVMCLite.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a0ad8fca-570b-11dd-b208-0013d3dec2fc}]
\Shell\AutoRun\command - H:\StartVMCLite.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a0ad8fcb-570b-11dd-b208-0013d3dec2fc}]
\Shell\AutoRun\command - H:\StartVMCLite.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9d62dc8-aba7-11da-a710-0013d3dec2fc}]
\Shell\AutoRun\command - G:\zPharaoh.exe
\Shell\explore\command - G:\zPharaoh.exe
\Shell\open\command - G:\zPharaoh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5b7d398-aadd-11da-a70f-806d6172696f}]
\Shell\AutoRun\command - C:\zPharaoh.exe
\Shell\explore\command - C:\zPharaoh.exe
\Shell\open\command - C:\zPharaoh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5b7d399-aadd-11da-a70f-806d6172696f}]
\Shell\AutoRun\command - D:\zPharaoh.exe
\Shell\explore\command - D:\zPharaoh.exe
\Shell\open\command - D:\zPharaoh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5b7d39a-aadd-11da-a70f-806d6172696f}]
\Shell\AutoRun\command - E:\zPharaoh.exe
\Shell\explore\command - E:\zPharaoh.exe
\Shell\open\command - E:\zPharaoh.exe

*Newly Created Service* - CATCHME
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-AntivirusRegistration - C:\Programme\CA\Etrust Antivirus\Register.exe
MSConfigStartUp-devenv - C:\WINDOWS\system\smvss.exe
MSConfigStartUp-HP Software Update - C:\Programme\HP\HP Software Update\HPWuSchd2.exe
MSConfigStartUp-HPDJ Taskbar Utility - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
MSConfigStartUp-Realtime Monitor - C:\PROGRA~1\CA\ETRUST~1\realmon.exe
MSConfigStartUp-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
MSConfigStartUp-ZoneAlarm Client - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - ****\gf\Anwendungsdaten\Mozilla\Firefox\Profiles\jeu4h173.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - h


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-08 13:11:59
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-08 13:15:34
ComboFix-quarantined-files.txt 2008-08-08 11:15:21

Pre-Run: 5,362,962,432 Bytes frei
Post-Run: 5,297,139,712 Bytes frei

200 --- E O F --- 2008-07-01 09:14:16

Hi,

bitte Boot-CD auf einem sauberen Rechner zusammenstellen (setzt voraus,
dass Du über eine XP-CD oder Recovery-CD verfügst!

Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine
Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.

Danach von CD booten (ev. im BIOS die Bootreihenfolge umstellen).
Dann die Scanner drüber jagen, keine Programme von der HDD ausführen!
Wenn jetzt ein Stick angehängt wird, dann sollte er sauber sein und Du kannst gefahrlos kopieren, prüfen ob die kopierten Daten virenfrei sind!
Am besten CD brennen!

Wenn Du von CD booten kannst:
Ersetzte %UserProfile% bzw. [UserName]durch Dein Kürzel bzw. prüfe die Pfade für alle Benutzer,
einschließlich "Administrator", "gf",...

Suche auch Global über alle Laufwerke nach diesen Namen und lösche sie überall wo Du sie findest!

Files löschen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\hook.dl_
C:\Dokumente und Einstellungen\tazebama.dl_
C:\Dokumente und Einstellungen\tazebama.dll

Userspezifische Pfade des Wurms:
%UserProfile%\Start Menu\Programme\Startup\zPharoh.exe
%UserProfile%\Lokale Einstellungen\Anwendungsdaten\Microsoft\CD Burning\zPharaoh.exe
%UserProfile%\Lokale Einstellungen\Anwendungsdaten\Microsoft\CD Burning\autorun.inf
C:\Dokumente und Einstellungen\[USER NAME]\Anwendungsdaten\tazebama
C:\Dokumente und Einstellungen\[USER NAME]\Anwendungsdaten\tazebama\tazebama.log
C:\Dokumente und Einstellungen\[USER NAME]\Anwendungsdaten\tazebama\zPharaoh.dat

Kopie auf allen Laufwerken, mit entsprechender "autorun"-Anweisung!
C:\zPharaoh.exe
C:\autorun.inf
D:\zPharaoh.exe
D:\autorun.inf
E:\zPharaoh.exe
E:\autorun.inf

Folgende Schlüssel über Remoteeditor suche und löschen (dazu den systemhive laden):
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{e5b7d39a-aadd-11da-a70f-806d6172696f}]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{e5b7d399-aadd-11da-a70f-806d6172696f}]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{e5b7d398-aadd-11da-a70f-806d6172696f}]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{a9d62dc8-aba7-11da-a710-0013d3dec2fc}]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\E]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\D]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\C]

Setze folgenden Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "1"
         

Dann schreibe den hive zurück... Achtung wenn dabei etwa schief geht, war es das mit Windows! Daher vorher Backup
anlegen!


Chris

Hallo Chris und Co...

Ich danke für eure Bemühen mir zu helfen, doch leider hat alles nichts genützt, ich musste schließlich meinen rechner neu aufsetzen, die allerwichtigsten daten hab ich per mail versendet und somit zurückbekommen...

Dieser Virus hat sich so intensiv ins System gefressen, ich konnte es jedenfalls nicht mehr reparieren

Naja, jetzt hab ich mir mal ein Top Antivirenprogramm gekauft, ich hoffe dass jetzt Schluss ist mit Plagegeistern... *aufHolzklopf*


Lg Günner