Also ....

direkt nach dem 2ten durch combofix ausgelösten restart ... konnt ich keine exe mehr starten ... gar keine ... immer der selbe fehler...
irwas mit der registry

ich hab dann direkt restartet und ab dann ging alles wieder bluescreens hat ich auch noch keine...

so und wie gesagt... diese trojans und die anderen dateien befinden sich immernoch in der quarantäne von antivir ...
was soll ich mit denen machen

Zitat:

irwas mit der registry

Bitte die genaue Fehlermeldung. Screenshot wäre optimal.

Zitat:

bluescreens hat ich auch noch keine...

Wieso verblüfft mich das jetzt nicht?

Zitat:

was soll ich mit denen machen

Dort sind sie unschädlich. Es wäre aber hilfreich, wenn ich wüsste, was wo gefunden wurde. Auch hier wäre ein Screenshot optimal.

ciao, andreas

die meisten dateien sind im C:/Windows/Temp

die unteren 5 in C:/Windows/system32/driver




und ein screen von der registry-fehlermeldung geht schlecht den wie schon geschrieben hab ich den fehler nich mehr.. ^^

Zitat:

und ein screen von der registry-fehlermeldung geht schlecht den wie schon geschrieben hab ich den fehler nich mehr..

Du hast doch geschrieben, du kannst keine Programme mehr starten? Die Dateien in der Quarantäne kannst du alle löschen.

1.) http://www.trojaner-board.de/51187-a...i-malware.html

2.) http://www.trojaner-board.de/51871-a...tispyware.html

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

ciao, andreas

hier der erste log .. ich bin jeztt erstmal weg ... bin vil heut nacht nochmal on um die weiteren schritte zu machen ^^

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2747
Windows 6.0.6002 Service Pack 2

06.09.2009 17:28:49
mbam-log-2009-09-06 (17-28-49).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 258757
Laufzeit: 2 hour(s), 47 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbiwkmjsvriunp (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Windows\System32\kbiwkmiuabddne.dll.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\System32\kbiwkmoreffcmc.dll.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\Enrico\AppData\Roaming\mIRC\bin\dll\dmu.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Users\Enrico\AppData\Roaming\mIRC\bin\dll\SysTray.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
         

Hast du in der Zwischenzeit soetwas wie Systemwiederherstellung oder ähnliches ausgeführt?

ciao, andreas

nichts der gleichen ... wieso ??? ...

hier mal der anti spyware log

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/07/2009 at 02:18 AM

Application Version : 4.28.1010

Core Rules Database Version : 4086
Trace Rules Database Version: 2026

Scan type       : Complete Scan
Total Scan Time : 03:23:21

Memory items scanned      : 903
Memory threats detected   : 0
Registry items scanned    : 6453
Registry threats detected : 0
File items scanned        : 145270
File threats detected     : 22

Adware.Tracking Cookie
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@at.atwola[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@cdn.at.atwola[1].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@advertising[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@apmebf[1].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@doubleclick[1].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@weborama[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@atwola[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@adfarm1.adition[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@tacoda[1].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@mediaplex[2].txt
	C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Cookies\enrico@atdmt[1].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@2o7[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@atdmt[1].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@msnportal.112.2o7[1].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@weborama[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@atdmt[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@serving-sys[1].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%Profile%\Cookies\enrico******@bs.serving-sys[1].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@weborama[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@atdmt[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@serving-sys[2].txt
	D:\Programme\PortableApps\wlive\WLM Lite\%AppData%\Microsoft\Windows\Cookies\enrico@bs.serving-sys[2].txt
         

Zitat:

nichts der gleichen ... wieso ??? ...

Weil ein Eintrag, den ComboFix schon längst gelöscht hat, bei Malwarebytes wieder aufgetaucht ist. Das ist mehr als bedenklich. Deinstalliere SuperAntiSpyware.

ciao, andreas

Hier mal der Kaspersky Online Scanner Log ... ^^

die ganze nacht dem scanner zugeschaut

Zitat:

die ganze nacht dem scanner zugeschaut

Man kann seine Zeit sinnvoller verbringen. Der Scanner läuft alleine.

Hat Prevx etwas gefunden?

ciao, andreas

so prevX ^^

Wo hast du die Datei girc526.exe denn geladen? Schicke mir den Downloadlink bitte als Private Nachricht.

ciao, andreas

Edit: So richtig schädlich sieht die nicht aus. Nur ClamAV schießt mal wieder den Vogel ab.

Code: Alles auswählenAufklappen

ATTFilter

Datei girc526.htm empfangen 2009.09.08 15:52:44 (UTC)
Status:    Beendet 
Ergebnis: 12/41 (29.27%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.09.08	Riskware.Client-IRC.Win32.mIRC!IK
AhnLab-V3	5.0.0.2	2009.09.08	-
AntiVir	7.9.1.12	2009.09.08	-
Antiy-AVL	2.0.3.7	2009.09.08	Client-IRC/Win32.mIRC.gen
Authentium	5.1.2.4	2009.09.08	-
Avast	4.8.1351.0	2009.09.08	-
AVG	8.5.0.409	2009.09.08	-
BitDefender	7.2	2009.09.08	-
CAT-QuickHeal	10.00	2009.09.08	-
ClamAV	0.94.1	2009.09.08	Worm.Downadup-319
Comodo	2210	2009.09.08	UnclassifiedMalware
DrWeb	5.0.0.12182	2009.09.08	-
eSafe	7.0.17.0	2009.09.08	-
eTrust-Vet	31.6.6725	2009.09.08	-
F-Prot	4.5.1.85	2009.09.08	-
F-Secure	8.0.14470.0	2009.09.08	Client-IRC.Win32.mIRC.g
Fortinet	3.120.0.0	2009.09.08	Misc/MIRC
GData	19	2009.09.08	-
Ikarus	T3.1.1.72.0	2009.09.08	not-a-virus:Client-IRC.Win32.mIRC
Jiangmin	11.0.800	2009.09.08	-
K7AntiVirus	7.10.839	2009.09.08	-
Kaspersky	7.0.0.125	2009.09.08	not-a-virus:Client-IRC.Win32.mIRC.g
McAfee	5734	2009.09.07	-
McAfee+Artemis	5734	2009.09.07	Artemis!5A3449E5F18D
McAfee-GW-Edition	6.8.5	2009.09.08	-
Microsoft	1.5005	2009.09.08	-
NOD32	4406	2009.09.08	-
Norman	6.01.09	2009.09.08	-
nProtect	2009.1.8.0	2009.09.08	-
Panda	10.0.2.2	2009.09.07	Application/MotherboardMonitor.A
PCTools	4.4.2.0	2009.09.07	-
Prevx	3.0	2009.09.08	Medium Risk Malware
Rising	21.46.14.00	2009.09.08	-
Sophos	4.45.0	2009.09.08	-
Sunbelt	3.2.1858.2	2009.09.07	Trojan.Win32.Generic!BT
Symantec	1.4.4.12	2009.09.08	-
TheHacker	6.3.4.3.397	2009.09.07	-
TrendMicro	8.950.0.1094	2009.09.08	-
VBA32	3.12.10.10	2009.09.08	-
ViRobot	2009.9.8.1923	2009.09.08	-
VirusBuster	4.6.5.0	2009.09.08	-
weitere Informationen
File size: 3583184 bytes
MD5...: 5a3449e5f18d66e2ce789cbabd2b23c8
SHA1..: 5f900c2d8766dd33cdd6d38325132529b45b31d7
SHA256: 55b6b133aadd6351b024c10aa94e63f783502e6b2ce70908f8c701dc9c0b5c9c
ssdeep: 98304:K9sPryq3mbY+lL+jgw7hcOPSLwK8LS2BllN9x:KW3mE+lL+Fvjzj
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x323c
timedatestamp.....: 0x49a05a1a (Sat Feb 21 19:46:34 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5a56 0x5c00 6.42 7e9e633fd2aedade49bf819fab33d557
.rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75
.data 0x9000 0x1af98 0x400 4.71 a59d6ff4f72ca84cc2dea3b332090bfb
.ndata 0x24000 0x19000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x3d000 0x4de0 0x4e00 4.61 9e8aca9cffb68f12c1680118f2d05d03

( 8 imports ) 
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports ) 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=9F2E2D34D0F86921AC2E365809A7C500DDD1979E' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=9F2E2D34D0F86921AC2E365809A7C500DDD1979E</a>
packers (Kaspersky): ExePack
packers (F-Prot): NSIS, Unicode
         

also bin ich meine infektion jetzt los ?? ^^....


naja wenn ja ... wie sollt ich weiter machen ich will ja nich gerade das das wieder vorkommt...

wie kann ich mich schützten und ja ...

grus
Keks

1.) Deinstalliere:

• Java(TM) 6 Update 6
• Kaspersky Online Scan
• Prevx

2.) Installiere:

• Java-Downloads für alle Betriebssysteme - Sun Microsystems

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000000

Folder::
C:\rsit

DirLook::
c:\users\Enrico\AppData\Local\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}
c:\users\Enrico\{4646f5f8-a9d0-478f-b69c-ebca0c4e974d}
c:\users\Enrico\{0eb8b3e3-2641-4293-b83c-fa22bd338eb6}
C:\0fbda056520649610fbc7a3b7f6c7a02
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

so bitte schön hier der log