Wie soll ich das posten/anhängen?! Das sind knapp 3 Millionen Zeichen!!!

Naja muss jetzt wirklich ausmachen, sorry...

Lade es bei einem Filehoster hoch (z.B. www.file-upload.net) und poste hier den Link.

Gute Nacht, andreas

Edit: Ich habe einen Eintrag in die falsche Kategorie gepackt. Bitte morgen als Erstes das hier ausführen.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\17073124
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

Habe ich gemacht =)

Erstes Logfile von gestern Abend : Hier

Zweites Logfile von heute Mittag: Hier

Es hat auf jeden Fall schon gewirkt! Der PC fuhr ohne Macken und Meldungen über Viren etc. hoch! Nicht eine Meldung...

Dann kann ich ja am Wochenende zocken! Auf jeden Fall schonmal ein großes "Dankeschön" an alle Helfer!

lg Felix =)

Zitat:

Dann kann ich ja am Wochenende zocken!

Da wird wohl nichts draus werden.

1.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\temp
c:\dokumente und einstellungen\Felix\Anwendungsdaten\Mozilla\Firefox\Profiles\g76twvol.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\temp
c:\dokumente und einstellungen\Felix\Cookies
c:\dokumente und einstellungen\Felix\Anwendungsdaten\BitTorrent
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\gctmp
c:\dokumente und einstellungen\Felix\Anwendungsdaten\Azureus

Files::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\ihygal._dl
c:\dokumente und einstellungen\All Users\Anwendungsdaten\subedixe.sys
c:\dokumente und einstellungen\All Users\Anwendungsdaten\yhafahy.scr
c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewifu.sys
c:\dokumente und einstellungen\Felix\Anwendungsdaten\wiaserva.log
c:\dokumente und einstellungen\Felix\Anwendungsdaten\duxuvamuna._sy
c:\dokumente und einstellungen\Felix\Anwendungsdaten\tyfaq.lib
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\xafohere.ban
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\ybon.ban
c:\dokumente und einstellungen\Felix\msword98.exe
c:\dokumente und einstellungen\Felix\Desktop\2401439.torrent
c:\programme\Gemeinsame Dateien\maly.vbs
c:\programme\Gemeinsame Dateien\qikyb.db
c:\programme\Gemeinsame Dateien\evehoky.dat
c:\programme\Gemeinsame Dateien\ujotuqot.vbs
c:\programme\Gemeinsame Dateien\ugewoqyn._sy
c:\programme\Gemeinsame Dateien\lutewyt.exe
c:\windows\system32\braviax.exe
c:\windows\system32\tuwys.sys
c:\windows\system32\oxowiq.db
c:\windows\system32\SET138.tmp
c:\windows\system32\dllcache\SET14C.tmp
c:\windows\system32\dllcache\SET14B.tmp
c:\windows\system32\spool\prtprocs\w32x86\SET12E.tmp
c:\windows\system32\SET137.tmp
c:\windows\system32\dllcache\SET14A.tmp
c:\windows\system32\SET136.tmp
c:\windows\system32\dllcache\SET149.tmp
c:\windows\system32\msword98.exe
c:\windows\system32\SET8A.tmp
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

2.) Deaktiviere den Wächter von Norton/Symantec.

3.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht.

4.) Aktiviere den Wächter von Norton/Symantec.

ciao, andreas

Okay, hab ich ausgeführt.

Die Logdatei findest du Hier

=)

Soll ich sonst noch etwas machen? Es ist Wochenende, ich habe Zeit =D

1.) Deaktiviere den Wächter von Norton/Symantec.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als Private Nachricht.

3.) Aktiviere den Wächter von Norton/Symantec.

ciao, andreas

Hab dir ne PM geschrieben. Soll ich vielleicht mal nen Malwarebytes Scan durchführen, um zu sehen, ob sich was gebessert hat?

Also der Downloader ist anscheinend weg... keine Meldungen mehr =P

mfg

Ja, aber da ist ein Fund, der das Aus bedeutet.

Zitat:

c:\dokumente und einstellungen\Felix\Anwendungsdaten\Azureus\torrents\_GTA San Andreas v1 0 [ALL] No-CD Fixed EXE - SEPC.torrent

Das habe ich mir runtergeladen. Vielleicht ist es nicht exakt diesselbe Datei, aber wenn ich mir deinen Befall anschaue, könnte das sehr wohl passen.

Nach dem Entpacken gibt es dort 3 Dateien, genauer:

Zitat:

22.08.2009 13:08 5.749.490 gta_sa.exe.zip
22.08.2009 13:04 357 Instruction.txt
22.08.2009 13:04 15.923 PatchFX.exe.zip

Nach dem Entpacken von PatchFX.exe.zip (alleine der Dateiname reicht für die Erkenntnis => Schädling) erhältst du:

Zitat:

10.06.2005 20:34 360 gta_sa.reg
11.06.2005 15:44 65.833 PatchFX.exe

VT sagt dazu:

Code: Alles auswählenAufklappen

ATTFilter

Datei PatchFX.exe empfangen 2009.08.22 16:47:21 (UTC)
Status: Beendet 
Ergebnis: 20/41 (48.78%)
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.08.22	Virus.Win32.Trojan!IK
AhnLab-V3	5.0.0.2	2009.08.21	Win-Trojan/Downloader.65991
AntiVir	7.9.1.3	2009.08.21	TR/Dldr.Small.bws.20
Antiy-AVL	2.0.3.7	2009.08.21	-
Authentium	5.1.2.4	2009.08.22	-
Avast	4.8.1335.0	2009.08.21	-
AVG	8.5.0.406	2009.08.22	-
BitDefender	7.2	2009.08.22	Trojan.Generic.1941738
CAT-QuickHeal	10.00	2009.08.22	Trojan.Agent.ATV
ClamAV	0.94.1	2009.08.22	Trojan.Downloader-59507
Comodo	2059	2009.08.22	-
DrWeb	5.0.0.12182	2009.08.22	-
eSafe	7.0.17.0	2009.08.20	Win32.Downloader
eTrust-Vet	31.6.6694	2009.08.21	-
F-Prot	4.4.4.56	2009.08.22	-
F-Secure	8.0.14470.0	2009.08.21	-
Fortinet	3.120.0.0	2009.08.22	-
GData	19	2009.08.22	Trojan.Generic.1941738
Ikarus	T3.1.1.68.0	2009.08.22	Virus.Win32.Trojan
Jiangmin	11.0.800	2009.08.21	-
K7AntiVirus	7.10.825	2009.08.22	-
Kaspersky	7.0.0.125	2009.08.22	-
McAfee	5716	2009.08.21	Generic.dx
McAfee+Artemis	5716	2009.08.21	Generic.dx
McAfee-GW-Edition	6.8.5	2009.08.22	Heuristic.LooksLike.Win32.Small.P
Microsoft	1.4903	2009.08.22	-
NOD32	4358	2009.08.22	probably a variant of Win32/TrojanDownloader.Agent
Norman	6.01.09	2009.08.21	-
nProtect	2009.1.8.0	2009.08.22	-
Panda	10.0.0.14	2009.08.22	Generic Trojan
PCTools	4.4.2.0	2009.08.22	-
Prevx	3.0	2009.08.22	Medium Risk Malware Downloader
Rising	21.43.50.00	2009.08.22	-
Sophos	4.44.0	2009.08.22	Mal/Generic-A
Sunbelt	3.2.1858.2	2009.08.22	Trojan-Downloader.Gen
Symantec	1.4.4.12	2009.08.22	Downloader
TheHacker	6.3.4.3.385	2009.08.22	-
TrendMicro	8.950.0.1094	2009.08.22	PAK_Generic.001
VBA32	3.12.10.9	2009.08.22	Trojan.MulDrop.11925
ViRobot	2009.8.22.1897	2009.08.22	-
VirusBuster	4.6.5.0	2009.08.21	-
weitere Informationen
File size: 65833 bytes
MD5   : 72054cab7a508a895936b9827ba37b36
SHA1  : 7962b57ad223333b1b9b5022b8537ccd47855fde
SHA256: 52b91ea273f60ccb32bc77abda3ecd1bd34f91fd4678a856b0316b9ad6725b43
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402725
timedatestamp.....: 0x3A059E1D (Sun Nov 5 18:51:25 2000)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x454C 0x5000 6.04 441fb4fb6acbe328526d9445a13c9eb1
.rdata 0x6000 0xA52 0x1000 3.89 4d33cae3eb1843850d44134230924da1
.data 0x7000 0xEFC 0x1000 2.86 1ed36d7de894b83cab8a882d7eb8ba90
.rsrc 0x8000 0x7A78 0x8000 0.48 51bdcfb316c6a27c4b54cd499e1434ef

( 0 imports )


( 0 exports )
TrID  : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=72054cab7a508a895936b9827ba37b36
ssdeep: 384:1PZCb52KINk5EolyBs3z/nyaBEOBbmluaKuD/r56Wra9WolSUwlmBuNo:NZk52zNk5F4s3zyMIV6Wr9olso
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=550CA8C6299D94E30104015F99754F00F6657A48
PEiD  : Armadillo v1.71
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=72054cab7a508a895936b9827ba37b36
RDS   : NSRL Reference Data Set
         

Ein Downloader, der genau das gemacht hat, wozu er bestimmt ist. Bleibt nur noch die Frage, warum die gelbe Pest nichts gemeldet hat, sie kennen ihn doch.

Damit fällst du in die Kategorie: Selber schuld => Neuinstallation.

Du bist entlassen und ich bin raus,
Andreas

Nein, das ist unmöglich!! Die gta_sa.exe ist die .exe von einem Spiel!
Das kann unmöglich ein Virus sein!!

Also das versteh ich jetzt mal nicht...

Ich habe die Datei vielleicht zu 1% über Torrent gedownloadet, konnte sie also auch nicht entpacken. Ich habe abgebrochen, weil es illegal ist. Das kann einfach nicht sein! Die Datei ist doch somit unvollständig. Azureus besitze ich auch garnicht mehr!

Und wieso downloadet dieser angebliche "Downloader" dann nichts neues? Ich hänge gleich einen aktuellen Malwarebytes Log an...

Eine Datei namens PatchFX.exe.zip habe ich nie heruntergeladen, geschweige denn entpackt. Diese gta_sa.exe brauchte ich, um die exe auf v1.0 zu PATCHEN, damit man online spielen kann. Ich glaub das ist jetzt ein Missverständnis?

Naja wie gesagt, ich habe den Download abgebrochen und die exe (nur die exe, keine .zip whatever) von einem Freund geschickt bekommen. Die exe die ich geschickt bekommen habe, war auch nicht verseucht. Symantec hätte es sofort gelöscht wenn ich es benutzt hätte (das weiß ich, weil es bei Trainern auch so ist, Trainer werden ja auch als Trojaner erkannt, obwohl sie keine sind..)

Deshalb hat Symantec Antivirus auch nichts erkannt, weils anscheinend ein Fehlalarm ist oder, was weiß ich...

Zitat:

Damit fällst du in die Kategorie: Selber schuld => Neuinstallation.

Du bist entlassen und ich bin raus,
Andreas

Ich bitte dich trotzdem, dich noch einmal dazu zu äußern.
Danke, Felix...

€€: Gerade eben kam ein Virus rein... Gestern und heute den GANZEN Tag nicht, und jetzt auf einmal wieder:

W32.Koobface.D

Aber ich glaub dieser Virus ist immernoch das mit der services.exe. Danach kamen nämlich wieder packed.generic 233 rein!

Das sagt mir Symantec über W32.Koobface.D:
W32.Koobface.D is a worm that spreads through social networking sites. It also sends confidential information to a remote location. Was heißt das?

Eingestuft als: Very Low

Packed generic auch: Very Low

Hier nochmal ein aktuelles Malwarebytes Log... sieht besser aus als vorher!

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 5.1.2600 Service Pack 3

22.08.2009 20:19:48
mbam-log-2009-08-22 (20-19-43).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 158128
Laufzeit: 24 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\wiaserva.log (Malware.Trace) -> No action taken.