Hallo Leute,
Mein frisch formatierter PC hat sich schon wieder infiziert.
Ich habe heute Kaspersky frisch geupdatet und einen Vollscan gemacht:
FUND: Malware: "packed.win32.katusha.e"
Im System32 Ordner unter Treiber.
Hinweis: Kaspersky hat beim Check von MBAM noch das Virus in der SysWiederherstellung gefunden.
Ich habe sie dann deaktiviert.
Und dann hat KAV nochmal zugeschlagen, weiterer Fund im Sys32.
(auch beim Check von MBAM)
Wo die Datei genau war,kann ich nicht sagen,KAV hat seeehr schnell reagiert
Nach einem Neustart hat Kaspersky nachgesetzt:
FUND: Malware: "Trojan-spy.html.fraud.gen"
Hier im Thunderbird Ordner.
und Ja,diese Mail ist mir bekannt,ich habe aber weder Anhänge noch Links geöffnet. Kann denn ein Virus durch reines Öffnen einer Email auf den PC gelangen?
Am Ende hat KAV mich noch hiermit benachrichtigt:
10 gefundene Schwachstellen:
1.Thunderbird.exe (Update von Thunderbird gemacht)
2.*gelöscht* (war ein veraltetes MS2000)
3.*gelöscht* (von PartyPoker eine .dll[deinstall+ordner manuell gelöscht])
4.Flash Player "Flash10a.ocx",Flash Player neuinstalliert!
5."msmxl4.dll" von E:\Windows\WinSxS\...\ ; MXML 4.0 SP2 Deinstalliert.
Hoffe das war bis jetzt so ok; Rein theoretisch müsste die Schwachstellen Quote nun von 10 auf max. 3 geschrumpft sein (evtl. noch die .exe von Thunderbird/der Flash Player/MXML)
Logs von HijackThis und Malwarebytes kommen noch-
Werde ich nun schon wieder Format C: ,äh, Format E: machen müssen?
MFG,
BD
PS:Vielen Dank schonmal für eure Antworten
EDIT1:
Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:31:57, on 24.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
E:\WINDOWS\system32\RunDll32.exe
E:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Tclock\tclock.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
E:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
E:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Dokumente und Einstellungen\****\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Tclock.lnk = C:\Programme\Tclock\tclock.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Tclock.lnk = C:\Programme\Tclock\tclock.exe (User 'Default user')
O4 - Startup: Tclock.lnk = C:\Programme\Tclock\tclock.exe
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: Link mit Mega Manager herunterladen... - D:\Programme\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - h**p://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Google Update Service (gupdate1ca168fb67cd850) (gupdate1ca168fb67cd850) - Google Inc. - E:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - E:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - E:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5954 bytes

EDIT2:
So nachdem Kaspersky Malwarebytes beim scannen penetrant unterbrochen hat (s.oben),hier das Ergebnis:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2688
Windows 5.1.2600 Service Pack 3

24.08.2009 19:17:05
mbam-log-2009-08-24 (19-17-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 218332
Laufzeit: 38 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Habe ich etwas ungenau beschrieben?
Was soll ich bloß tun?

Sry für den Doppelpost:
Die Logs im Anhang (RSIT)
Ich habe mit KAV gescannt (steht auch unten )~Full Scan~.
Und einmal mit Malwarebytes;
Wo kann ich denn die Reporte sehen?
Ich habe mit F-Secure Blacklight nochmal gescannt,keine Funde.
Gmer:
Please hold the line^^

Wo sich die Malware genau befunden hat, waere schon wichtig, irgendwo muss KAV ja Reporte/Berichte ueber die Funde angelegt haben. Wann sind diese Meldungen denn aufgetaucht, was hast du zu diesem Zeitpunkt gemacht?

Lege bitte noch ein GMER und RSIT Report nach...

So. Meinen letzten Post habe ich editiert.
Hier nun das GMER Log,nach einer gefühlten Ewigkeit:
s.Anhang

Frag mich, wo Kaspersky die Berichte versteckt. Bedienungstechnisch waren die schon mal besser... Vieleicht hilft dir das weiter...
http://www.trojaner-board.de/61465-a...ty-2009-a.html

Nutze einmal MBR von Gmer

http://www2.gmer.net/mbr/mbr.exe

Auf den Desktop speichern und laufen lassen.
Es legt dort eine mbr.log ab, deren Inhalt poste bitte.

Zitat:

Zitat von raman

Frag mich, wo Kaspersky die Berichte versteckt. Bedienungstechnisch waren die schon mal besser... Vieleicht hilft dir das weiter...
http://www.trojaner-board.de/61465-a...ty-2009-a.html

Nutze einmal MBR von Gmer

http://www2.gmer.net/mbr/mbr.exe

Auf den Desktop speichern und laufen lassen.
Es legt dort eine mbr.log ab, deren Inhalt poste bitte.

So.
Einstellungen gemacht.
Funde:

Zitat:

24.08.2009 18:03:13 Gelöscht: Packed.Win32.Katusha.e e:\windows\system32\drivers\lv302v32.sys
24.08.2009 18:03:12 Gelöscht: Packed.Win32.Katusha.e HKLM\System\ControlSet003\Services\PID_PEPI\PID_PEPI
24.08.2009 18:03:12 Gelöscht: Packed.Win32.Katusha.e HKLM\System\ControlSet001\Services\PID_PEPI\PID_PEPI
24.08.2009 18:03:11 Gefunden: Packed.Win32.Katusha.e e:\windows\system32\drivers\lv302v32.sys

und der Scan davor(nur 20 sek. früher):

Zitat:

24.08.2009 17:20:03 Gefunden: Packed.Win32.Katusha.e e:\windows\system32\drivers\lv302v32.sys
24.08.2009 17:20:03 Gelöscht: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP80\A0012869.SYS
24.08.2009 17:20:03 Gefunden: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP80\A0012869.SYS
24.08.2009 17:20:03 Gelöscht: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0009025.SYS
24.08.2009 17:20:02 Gefunden: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0009025.SYS
24.08.2009 17:20:02 Gelöscht: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0008970.SYS
24.08.2009 17:20:02 Gefunden: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0008970.SYS
24.08.2009 17:20:02 Gelöscht: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0008969.SYS
24.08.2009 17:20:02 Gefunden: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0008969.SYS
24.08.2009 17:20:02 Gelöscht: Packed.Win32.Katusha.e e:\Programme\Gemeinsame Dateien\LogiShrd\LogiDriverStore\lvdrivers\11.80.1048\IM2\LV302V32.SYS
24.08.2009 17:20:01 Gefunden: Packed.Win32.Katusha.e e:\Programme\Gemeinsame Dateien\LogiShrd\LogiDriverStore\lvdrivers\11.80.1048\IM2\LV302V32.SYS
24.08.2009 17:20:01 Verarbeitungsfehler: Trojan-Spy.HTML.Fraud.gen e:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\g168rwrb.default\Mail\Local Folders\Inbox
24.08.2009 17:20:00 Nicht desinfizierte Objekte: Trojan-Spy.HTML.Fraud.gen e:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\g168rwrb.default\Mail\Local Folders\Inbox/[From PayPal Deutschland <secruity@PayPal.net>][Date 14 Jun 2009 07:31:37][Subj Achtung! Aktivieren Sie Ihren Account-Informationen PayPal]/html Vom Benutzer übersprungen
24.08.2009 17:20:00 Gefunden: Trojan-Spy.HTML.Fraud.gen e:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\g168rwrb.default\Mail\Local Folders\Inbox/[From PayPal Deutschland <secruity@PayPal.net>][Date 14 Jun 2009 07:31:37][Subj Achtung! Aktivieren Sie Ihren Account-Informationen PayPal]/html
24.08.2009 17:20:00 Gefunden: Trojan-Spy.HTML.Fraud.gen e:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\g168rwrb.default\Mail\Local Folders\Inbox/[From "PayPal"<lloyds@securesuite.net>][Date 14 Jun 2009 03:14:45][Subj Your online account has been suspended]/html
24.08.2009 17:19:24 Nicht desinfizierte Objekte: Packed.Win32.Katusha.e e:\windows\system32\DRVSTORE\lvPEPI2v_9B63DE375D38D105257209AE91A63E0509B924B9\LV302V32.SYS Zurückgestellt
+2 Schwachstellen
24.08.2009 17:19:23 Gefunden: Packed.Win32.Katusha.e e:\windows\system32\DRVSTORE\lvPEPI2v_9B63DE375D38D105257209AE91A63E0509B924B9\LV302V32.SYS
24.08.2009 17:19:22 Nicht desinfizierte Objekte: Packed.Win32.Katusha.e e:\windows\system32\drivers\lv302v32.sys Zurückgestellt
24.08.2009 17:19:22 Gefunden: Packed.Win32.Katusha.e e:\windows\system32\drivers\lv302v32.sys
24.08.2009 17:11:01 Nicht desinfizierte Objekte: Packed.Win32.Katusha.e e:\Programme\Gemeinsame Dateien\LogiShrd\LogiDriverStore\lvdrivers\11.80.1048\IM2\LV302V32.SYS Zurückgestellt
24.08.2009 17:10:57 Gefunden: Packed.Win32.Katusha.e e:\Programme\Gemeinsame Dateien\LogiShrd\LogiDriverStore\lvdrivers\11.80.1048\IM2\LV302V32.SYS
24.08.2009 17:08:48 Verarbeitungsfehler: Trojan-Spy.HTML.Fraud.gen e:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\g168rwrb.default\Mail\Local Folders\Inbox
24.08.2009 17:08:46 Nicht desinfizierte Objekte: Trojan-Spy.HTML.Fraud.gen e:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\g168rwrb.default\Mail\Local Folders\Inbox/[From PayPal Deutschland <secruity@PayPal.net>][Date 14 Jun 2009 07:31:37][Subj Achtung! Aktivieren Sie Ihren Account-Informationen PayPal]/html Zurückgestellt
24.08.2009 17:08:46 Gefunden: Trojan-Spy.HTML.Fraud.gen e:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\g168rwrb.default\Mail\Local Folders\Inbox/[From PayPal Deutschland <secruity@PayPal.net>][Date 14 Jun 2009 07:31:37][Subj Achtung! Aktivieren Sie Ihren Account-Informationen PayPal]/html
24.08.2009 17:08:46 Nicht desinfizierte Objekte: Trojan-Spy.HTML.Fraud.gen e:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\g168rwrb.default\Mail\Local Folders\Inbox/[From "PayPal"<lloyds@securesuite.net>][Date 14 Jun 2009 03:14:45][Subj Your online account has been suspended]/html Zurückgestellt
24.08.2009 17:08:46 Gefunden: Trojan-Spy.HTML.Fraud.gen e:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\g168rwrb.default\Mail\Local Folders\Inbox/[From "PayPal"<lloyds@securesuite.net>][Date 14 Jun 2009 03:14:45][Subj Your online account has been suspended]/html
+Schwachstellen
24.08.2009 16:50:23 Verarbeitungsfehler: Trojan-Spy.HTML.Fraud.gen c:\Dokumente und Einstellungen\***\Eigene Dateien\backupThunderbird\30.07.2009\Profilverzeichnis.zip/Profiles/g168rwrb.default/Mail/Local Folders/Inbox
24.08.2009 16:50:23 Nicht desinfizierte Objekte: Trojan-Spy.HTML.Fraud.gen c:\Dokumente und Einstellungen\Alexander K\Eigene Dateien\backupThunderbird\30.07.2009\Profilverzeichnis.zip/Profiles/g168rwrb.default/Mail/Local Folders/Inbox/[From PayPal Deutschland <secruity@PayPal.net>][Date 14 Jun 2009 07:31:37][Subj Achtung! Aktivieren Sie Ihren Account-Informationen PayPal]/html Zurückgestellt
24.08.2009 16:50:23 Gefunden: Trojan-Spy.HTML.Fraud.gen c:\Dokumente und Einstellungen\***\Eigene Dateien\backupThunderbird\30.07.2009\Profilverzeichnis.zip/Profiles/g168rwrb.default/Mail/Local Folders/Inbox/[From PayPal Deutschland <secruity@PayPal.net>][Date 14 Jun 2009 07:31:37][Subj Achtung! Aktivieren Sie Ihren Account-Informationen PayPal]/html
24.08.2009 16:50:23 Nicht desinfizierte Objekte: Trojan-Spy.HTML.Fraud.gen c:\Dokumente und Einstellungen\***\Eigene Dateien\backupThunderbird\30.07.2009\Profilverzeichnis.zip/Profiles/g168rwrb.default/Mail/Local Folders/Inbox/[From "PayPal"<lloyds@securesuite.net>][Date 14 Jun 2009 03:14:45][Subj Your online account has been suspended]/html Zurückgestellt
24.08.2009 16:50:23 Gefunden: Trojan-Spy.HTML.Fraud.gen c:\Dokumente und Einstellungen\***\Eigene Dateien\backupThunderbird\30.07.2009\Profilverzeichnis.zip/Profiles/g168rwrb.default/Mail/Local Folders/Inbox/[From "PayPal"<lloyds@securesuite.net>][Date 14 Jun 2009 03:14:45][Subj Your online account has been suspended]/html
24.08.2009 16:48:50 Nicht desinfizierte Objekte: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP80\A0012869.SYS Zurückgestellt
24.08.2009 16:48:50 Gefunden: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP80\A0012869.SYS
24.08.2009 16:48:22 Nicht desinfizierte Objekte: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0009025.SYS Zurückgestellt
24.08.2009 16:48:22 Gefunden: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0009025.SYS
24.08.2009 16:48:20 Nicht desinfizierte Objekte: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0008969.SYS Zurückgestellt
24.08.2009 16:48:20 Gefunden: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0008969.SYS
24.08.2009 16:48:20 Nicht desinfizierte Objekte: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0008970.SYS Zurückgestellt
24.08.2009 16:48:20 Gefunden: Packed.Win32.Katusha.e e:\System Volume Information\_restore{7D7F137A-A6BF-4353-9D57-F89535C74644}\RP52\A0008970.SYS
24.08.2009 16:47:19 Nicht desinfizierte Objekte: Packed.Win32.Katusha.e e:\windows\system32\drivers\lv302v32.sys Zurückgestellt
24.08.2009 16:47:18 Gefunden: Packed.Win32.Katusha.e e:\windows\system32\drivers\lv302v32.sys

So das war alles was ich fand.
KAV: Da hat jemand ganze Arbeit geleistet ^^
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !

Das hilft und laesst mich vermuten, das das ein Fehlalarm ist
http://virscan.org/report/c4de9d5a72b251d12a1e20457f52403a.html


Wenn du noch an die Datei kommst, solltest du sie an KAV senden. Hast du sie noch in Quarantaene?

Hi,
Ja,das hört sich gut an
Ich habe gerade mal spontan unter System\Hardware\Geräte Manager geschaut und nun meckert meine Logitech Quickcam herrum,bzw:

Zitat:

Dieses Hardwaregerät kann nicht gestartet werden, da dessen Konfigurationsinformationen (in der Registrierung) unvollständig oder beschädigt sind. (Code 19)

Könnte mit dem Fund in Verbindung stehen.
Ich glaube die Datei ist gelöscht.
Aber *zum Glück* habe ich ja noch die original QuickCam CD,welche ich installieren werde (Treiber sind da auch drauf ).
Dann gehts ab ins Labor.
Was hat es eigentlich mit dem anderen Email Virus auf sich?
Ich habe mal ein BackUp von Thunderbird gemacht,kann es also sein,dass ich da die Mails mit dem Virus drinn aufgespielt habe?
Und warum war KAV bis dato ruhig?
AVIRA hatte auch nichts zu meckern..
Zudem habe ich diese Mail (einmal) geöffnet,keine Links,Files etc.
Nur die Email. Kann der Virus daher stammen?
Diese Spam Cooperation schickt mir auch weiterhin auf einen Email Acc von mir diese PayPal Kacke.
War der Virus aktiv? Oder am schlummern im Verzeichnis?

Meinst du mit anderen Virus das hier "Trojan-Spy.HTML.Fraud.gen "?

Wenn ja, dann kann ich dich mehr oder minder beruhigen. Die Mail, die so gemeldet wird enthaelt nur einen Link zu einer (angeblichen) Paypalseite, die dir vorgaukelt, das du da deine Passworte/Zugangsdaten eingeben sollst. Wuerdest du es ueber diesen Link machen, wuerden sie (die boesen Jungs) dir das Konto leerraeumen....

Zitat:

Zitat von raman

Meinst du mit anderen Virus das hier "Trojan-Spy.HTML.Fraud.gen "?

Wenn ja, dann kann ich dich mehr oder minder beruhigen. Die Mail, die so gemeldet wird enthaelt nur einen Link zu einer (angeblichen) Paypalseite, die dir vorgaukelt, das du da deine Passworte/Zugangsdaten eingeben sollst. Wuerdest du es ueber diesen Link machen, wuerden sie (die boesen Jungs) dir das Konto leerraeumen....

Ja den meinte ich ^^. Dankeschön
Info zum katusha Virus:
Ich habe die Treiber neu draufgeladen(+Update) (danach Update Kaspersky mit 1 MB Größe) und vollscan.
Keine Funde.
Entweder hat KAV bereits eine False Positive Meldung von jmd anders bekommen,oder Logitech hatte eine Patch parat oder das Ding war einfach infiziert.
Nur: ist das jetzt eher gut oder schlecht ^^?
Gut,ich werde jetzt die mail dicht machen,da mir da zu viel spam drauf läuft. dann eine neue her und eine rundmail an meine kontakte .
Black
EDIT:
Die Schachstelle von MXML habe ich gelöscht. Wofür brauche ich das eigentlich?;
Dieses Programm von MS?

Das war ein Fehlalarm und KAV hat ihn beseitigt. Logitech Produkte sind schon recht verbreitet, da faellt ein Fehlalarm sehr schnell auf! DAs dein KAV vorher nichts gesagt hat, liegt daran, das sie die ERkennung fuer den Packer erst uerzlich hinzugefuegt haben...

Zu mxml: MXML - Wikipedia, the free encyclopedia aber Google bringt noch mehr Treffer zum Thema!

Zitat:

Das war ein Fehlalarm und KAV hat ihn beseitigt. Logitech Produkte sind schon recht verbreitet, da faellt ein Fehlalarm sehr schnell auf! DAs dein KAV vorher nichts gesagt hat, liegt daran, das sie die ERkennung fuer den Packer erst uerzlich hinzugefuegt haben...

Zu mxml: MXML - Wikipedia, the free encyclopedia aber Google bringt noch mehr Treffer zum Thema!

Ok,mein Englisch ist zwar eher 3.Rangig aber das ging schon .
Mal sehen. Wenn ein Programm abschmiert,weiß ich was fehlt
Danke jedenfalls für deine Hilfe,bin nun (wie eigentlich vorher auch ) Virenfrei.
Trotzdem viielen lieben Dank für deine Mühen und "Arbeitsstunden",die du geopfert hast
Echt top
EDIT: Frage,ich habe die Dateien MsiExec.exe und rundll32.exe auf meinen Desktop (wo auch HJT und RSIT liegen).
Kommt das daher?
Oder was ist das ^^?

Niemand eine Idee?

Wenn das Kopien oder Verknuepfungen sind, kannst du sie loeschen. Genauso wie RSIT und Hijackthis...