Hallo,

gestern hab ich entdeckt das ich offenbar mehr als einen Trojaner auf meinem PC habe. Habe soeben, wie hier beschrieben, Malwarebytes laufen lassen, es waren sage und schreibe 47 Trojaner/Viren etc. drauf... habe alles gelöscht und hier ist das Ergebnis... muss ich jetzt nochwas machen oder ist damit alles ok?? Habe leider nicht so die Ahnung von der ganzen Materie!

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1070
Windows 5.1.2600 Service Pack 2

10:17:23 19.08.2008
mbam-log-08-19-2008 (10-17-23).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 85118
Laufzeit: 21 minute(s), 25 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 12
Infizierte Dateien: 23

Infizierte Speicherprozesse:
C:\WINDOWS\system32\lphce8ej0e55a.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\blphce8ej0e55a.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhca8ej0e55a (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphce8ej0e55a (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Microsoft Security Adviser (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**********\Anwendungsdaten\rhca8ej0e55a (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**********\Anwendungsdaten\rhca8ej0e55a\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**********\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*************\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\************\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**************\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***********\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***********\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***********\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***********\Anwendungsdaten\rhca8ej0e55a\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***********\Anwendungsdaten\rhca8ej0e55a\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Microsoft Security Adviser\mssadv_sp.log (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\****** *******\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphce8ej0e55a.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphce8ej0e55a.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phce8ej0e55a.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**********\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*************\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*************\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*************\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.



Bei Malwarebytes sind jetzt aber auch noch 24 Objekte in Quarantäne... muss ich die löschen? Hab aber doch bei Ergebnisse anzeigen schon alle markierten gellöscht, wozu sind da jetzt noch welche unter Quaratäne?? Sorry wenn ich so blöd frage, aber ich kenn mich da echt nicht aus...


Vielen Dank schonmal!!

Hi,

unter Quarantäne heisst sie sind inaktiv, können aber wiederhergestellt werden (wenn nicht eindeutig geklärt ist, ob es sich tatsächlich um einen Trojaner/Virus etc. handelt ist das besser als löschen, dann sind sie weg...).

Ganz "ohne" ist es nicht, der Trojaner erlaubt(e) den Zugriff auf Deinen Rechner:
* The Process is packed and/or encrypted using a software packing process
* Can communicate with other computer systems using HTTP protocols
* Writes to another Process's Virtual Memory (Process Hijacking)
* This Process Deletes Other Processes From Disk
* Adds a Registry Key (RUN) to auto start Programs on system start up
* This Process Creates Other Processes On Disk
* Executes a Process
* Creates a TCP port which listens and is available for communication initiated by other computers
* Looks at the contents of the autoexec.bat file
* Reads email address and phone book details
* Visits web sites on your PC without you knowing
* Adds Products to the system registry

Da er auch ein Port öffnet, solltest Du eigentlich neu aufsetzten...

So, bitte noch combofix und PrevX ausführen....
PrevX:
http://www.prevx.com/freescan.asp
Poste das Log nach dme Scann bzw. nur ev. Funde!

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

Hallo,

hier der neue Logfile


ComboFix 08-08-18.04 - ********** 2008-08-19 10:59:48.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.600 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*****************\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\************\UserData
C:\Dokumente und Einstellungen\**************\UserData\index.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Service_sysrest.sys


((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-19 10:54 . 2008-08-19 10:54 <DIR> d-------- C:\Programme\PrevxCSI
2008-08-19 10:54 . 2008-08-19 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2008-08-19 10:54 . 2008-08-19 10:54 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-08-19 09:51 . 2008-08-19 09:51 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-19 09:51 . 2008-08-19 09:51 <DIR> d-------- C:\Dokumente und Einstellungen\******* *********+\Anwendungsdaten\Malwarebytes
2008-08-19 09:51 . 2008-08-19 09:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-19 09:51 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-19 09:51 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-18 19:58 . 2008-08-18 19:58 <DIR> d-------- C:\NVIDIA
2008-08-18 19:58 . 2008-08-18 19:59 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-08-18 19:58 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-08-18 16:56 . 2008-08-18 16:56 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-08-18 16:54 . 2008-08-18 16:54 18,944 --a------ C:\0xf9.exe
2008-08-04 09:30 . 2008-07-03 12:49 3,342 --a------ C:\WINDOWS\TM.INI
2008-08-04 09:30 . 2008-07-03 12:49 42 --a------ C:\WINDOWS\TDF.DII

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 07:25 --------- d-----w C:\Programme\SMSC
2008-08-19 06:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-14 13:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-04 06:56 --------- d-----w C:\Programme\Google
2008-07-09 14:31 --------- d-----w C:\Programme\Microsoft SQL Server
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-10 10:06 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe" [2005-01-15 13:24 32881]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 14:35 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\WIBUKEY\\Server\\WkSvW32.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"=

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-08-19 10:54]
R2 CSIScanner;CSIScanner;C:\Programme\PrevxCSI\prevxcsi.exe [2008-08-19 10:54]
R2 HRService;Haufe iDesk-Service in G:\Programme\Haufe\iDesk\iDeskService\Zope;G:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe [2006-11-07 04:43]
R2 WKSVW32;WIBU-KEY Server;C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe [2005-04-15 06:00]
R3 Wibukey2;Wibukey2;C:\WINDOWS\system32\drivers\wibukey2.sys [2004-09-02 05:10]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
HKLM-Run-SetIcon - \Program Files\SMSC\SetIcon.exe


.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 -: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 11:02:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\j2re1.4.2_07\bin\jucheck.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\WinZip\WZQKPICK.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
G:\Programme\Haufe\iDesk\iDeskService\python.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-19 11:04:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-19 09:04:15

Pre-Run: 10 Verzeichnis(se), 48,396,726,272 Bytes frei
Post-Run: 13 Verzeichnis(se), 48,393,699,328 Bytes frei

125 --- E O F --- 2008-08-14 13:50:06


So, wie siehts jetzt aus??

Hi,

sieht sauber aus (bis auf eine Sache), Dein JAVA ist total veraltet..

Was ist das hier:
C:\0xf9.exe

Onlinescannen lassen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:

C:\0xf9.exe

Poste das Ergebniss!

Deine Javasoftware ist veraltet,
Download jre-6u7-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe”

Bitte noch PrevX posten...

chris

So, Ergebnis von Virustotal:


Datei 0xf9.exe empfangen 2008.08.18 19:12:32 (CET)
Status: Beendet

Ergebnis: 8/36 (22.22%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - HEUR/Malware
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Suspicious:W32/Malware!Gemini
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - TrojanDownloader:Win32/VB.AAG
NOD32v2 - - a variant of Win32/TrojanDownloader.VB.NPK
Norman - - -
Panda - - Suspicious file
PCTools - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - Downloader.MisleadApp
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Webwasher-Gateway - - Heuristic.Malware
weitere Informationen
MD5: d12597cb47ef0e2705cf35b96b7df77b
SHA1: f9af3405f2790587d3d6e16a661b505f4ae8e1df
SHA256: 566247a6ff2e4cce57b31e3c4bfc4a4d4280dce57813e31483742cd4c4334755
SHA512: 9985e7ae4cf9f7056f1577162a2726efc0695d813f9d43cf633eb752529081bc4654e02aa55714d53c986925a31eedafb070fdff0bc1adf98908b8160c75fea7



Was mache ich damit????

PrevX hat keine infizierten Dateien gefunden, daher hatte ichs nicht gepostet! Mein altes Java werde ich später erneuern, wenn ich die ganzen bösen Sachen los bin

Hi,

einen Aufruf konnte ich nicht identifizieren (aber das muss nichts heissen), versuche die Datei im abgesicherten Modus umzubenennen, keinesfalls ausführen).
Hah, besser versuche sie einfach so umzubenennen, wenn das nicht geht dann läuft das Ding im Hintergrund, dann in den abgesicherten Mode gehen (Neu booten, beim Booten F8 drücken).

Wie folgt umbenennen:
0xf9.exe nach 0xf9.exe.vir
Damit ist die Datei nicht mehr ausführbar und kann von eventuell vorhanden, unsichtbaren Starteinträgen nicht mehr gefunden werden....

chris

Ps.: Es sind dann noch "verwaiste" Serviceeinträge da (Legacy_SYSREST.SYS und Service_sysrest.sys), das ist unschön, aber da die Dateien "weg" sind, sollte das kein Problem sein. Es sei denn Du willst sie loshaben, dann müssen wir noch was tun...
So, Mittagspause...