Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wie kann ich diese Viren entfernen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.10.2009, 19:08   #1
Runner
 
Wie kann ich diese Viren entfernen? - Pfeil

Wie kann ich diese Viren entfernen?



Guten Tag,

ich habe einen Laptop von einer Bekannten bekommen auf dem sich einiges an Viren angesammelt hat. Auf dem Laptop befand sich WinXP-Home mit dem SP2.

Der Rechner lief am Anfang kaum noch d.h. etliche Fehler Meldungen beim Windows Start. Nach einiger Zeit hat der PC von sich aus ganz viele Tasks geöffnet. Das erste was ich gemacht habe war alle Dinge aus dem Autostart zu schmeissen und fast alles unnötige vom PC zu werfen... (Software). Der IE und FF liesen sich auch nicht mehr ausführen.

Habe erstmal das SP3 installiert danach das SP3 Winfuture Update. Danach ging FF wenigstens nach einer Neuinstalltion wieder habe Antivir drüber laufen lassen diese hat 23Viren gefunden und entfernt. Danach AVG drüber laufen lassen die hat nochmal 17 Viren gefunden und entfernt. Danach Avast drübr laufen lassen mit den höchsten Einstellungen diese hat nochmal 119 Viren gefunden davon konnte sie 72 Viren entfernen.

Jetzt gingen die Microsoft Seiten wieder (aspx Seiten die vorher nicht gingen). Danach hab ich mal F-Secure via Linux drüber laufen lassen die hat nochmal 2Viren im MBR gefunden plus einen auf der Platte. Danach nochmal BartCD drüber laufen mit Avast. Diese hat auch nochmal 19 Viren gefunden und entfernt.

So jetzt habe ich nochmal Avast in Windows drüber luafen lassen mit den höchsten Sicherheitseinstellungen leider findet diese immernoch 21Viren aber diese können nicht entfernt werden. Wie gehe ich jetzt vor?

Das Sicherheitscenter von XP SP3 lässt sich auch nicht öffnen auch nicht über services.msg aktivieren es springt gleich auf "deaktiviert" Die restlichen automatischen XP Updates laufen wie gewohnt durch.

Hier das HijackThis Protokol und im Anhang findet ihr das Avast Ergebniss über die restlichen Viren. Ich denke ich bin schon richtig erfolgreich gewesen der Laptop funzt auch wieder wie geschmiert allerdings zeigt mir !!NUR!! Avast noch diese restlichen Viren an. Ich wäre euch echt dankbar wenn ihr mir helfen könntet. Jetzt will ich es auch zu ende bringen und nicht einfach formatieren. *eifrig bin

EDIT: "Malwarebytes-Anti-Malware" lässt sich übrigens nicht installieren.

Bei jedem hochfahren bekomm ich ne Fehlermeldung das GoogleUpdate.exe nen Problem verursacht hat. Ein Eintrag lässt sich ausserdem nicht aus dem Autostart entfernen (CCleaner) Screens im Anhang.




HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:36, on 30.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC} - (no file)
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user')
O4 - Startup: scandisk.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256911654937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256911647296
O17 - HKLM\System\CCS\Services\Tcpip\..\{D753F73B-AD74-42FA-9D69-D412D8028F93}: NameServer = 192.168.2.1
O23 - Service: Warndienst AlerterALG (AlerterALG) - Unknown owner - C:\WINDOWS\TEMP\vjljrgyfms.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Google Update Service (gupdate1c9b2e728892258) (gupdate1c9b2e728892258) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4202 bytes
Miniaturansicht angehängter Grafiken
Wie kann ich diese Viren entfernen?-fund.jpg   Wie kann ich diese Viren entfernen?-cc.jpg  
Angehängte Grafiken
Dateityp: png ccER.PNG (8,8 KB, 401x aufgerufen)

Geändert von Runner (30.10.2009 um 19:45 Uhr) Grund: LOGFILE UPDATE

Alt 30.10.2009, 21:27   #2
Argus
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?



Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\sdra64.exe,
O2 - BHO: (no name) - {35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC} - (no file)
O23 - Service: Warndienst AlerterALG (AlerterALG) - Unknown owner - C:\WINDOWS\TEMP\vjljrgyfms.exe (file missing)
Klicke Fixed checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst


Benenne die mbam.exe auf “C:\Programme\Malwarebytes' Anti-Malware“in winlogon.exe um und versuchs nochmal
__________________


Alt 31.10.2009, 10:17   #3
Larusso
/// Selecta Jahrusso
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?





Bitte warte noch mit dem Fixen.

schritt 1
  • Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
  • Starte deinen Rechner neu auf, in den abgesicherten Modus (Tipps & Tricks: TIPP 4).
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.


schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles in Code-Tags hier in den Thread.


schritt 3

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.


Bitte poste in Deiner nächsten Antwort
Logfile von SDFix
Beide Logfiles von OTL
Gmer Logfile
bitte nicht hochladen sondern aufteilen
__________________
__________________

Alt 31.10.2009, 15:05   #4
Runner
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?



@Argus

Vielen dank mit deinem Trick konnte ich "Malwarebytes-Anti-Malware" installieren und ausführen. Nach 3 durchgängen hat das Programm auch nichts mehr gefunden was ich hätte entfernen können.

Unten noch mal mein aktueller HijackThis Viren Bericht mit geschlossenem IE (und alle anderen Programme auch).

Avast findet nun mit den stärksten Einstellungen auch nichts mehr. Mein System läuft wieder super. Auch das Sicherheitscenter ließ sich wieder starten und ausführen. Die "GoogleUpdate.exe" wird auch nicht mehr beim start als Fehlermeldung angeziegt.

Das einzige was leider noch nicht funktioniert ist der abgesicherte Modus dort bekomm ich immer einen Bluescreen angezeigt.

HiJackThis

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:23:44, on 31.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256911654937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256911647296
O17 - HKLM\System\CCS\Services\Tcpip\..\{D753F73B-AD74-42FA-9D69-D412D8028F93}: NameServer = 192.168.2.1
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Google Update Service (gupdate1c9b2e728892258) (gupdate1c9b2e728892258) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3572 bytes
         

@Larusso

Ich glaube GMER hat noch was gefunden.

Schritt1 "Lade das SDFix" kann ich nicht ausführen da der abgesciherte Modus nicht funktioniert.


Schritt2 OTL hier mein Ergebnis:

EDIT: Kann ich nicht posten das Ergbeniss ist zu lang =(



Schritt3 GMER hier mein Ergebnis:

Code:
ATTFilter
GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-10-31 13:55:30
Windows 5.1.2600 Service Pack 3
Running: b56nr1n9.exe; Driver: C:\DOKUME~1\Marion\LOKALE~1\Temp\kwtyipow.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwClose [0xF0B10E6E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwCreateKey [0xF0B10D2A]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDeleteValueKey [0xF0B11208]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwDuplicateObject [0xF0B10902]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenKey [0xF0B10E04]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenProcess [0xF0B10842]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwOpenThread [0xF0B108A6]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwQueryValueKey [0xF0B10F24]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwRestoreKey [0xF0B10EE4]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                         ZwSetValueKey [0xF0B11064]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]  00040002
IAT             C:\WINDOWS\system32\services.exe[856] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]        00040000

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                        aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                      aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                     aswRdr.SYS (avast! TDI RDR Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                   aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                             [AUTO] zmbvreac                                                                                                                                                                                                                                                                             <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@DisplayName                                                   Image Manager
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@Type                                                          32
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@Start                                                         2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@ErrorControl                                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@ImagePath                                                     %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@ObjectName                                                    LocalSystem
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac@Description                                                   Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verf?gbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac\Parameters                                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\zmbvreac\Parameters@ServiceDll                                         C:\WINDOWS\system32\dsxnmilp.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv@start                                                       1
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv@type                                                        1
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv@group                                                       file system
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv@imagepath                                                   \systemroot\system32\drivers\SKYNETxtqxxylk.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main (not active ControlSet)                                
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main@aid                                                    10063
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main@sid                                                    0
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main@cmddelay                                               14400
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main\delete (not active ControlSet)                         
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main\injector (not active ControlSet)                       
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main\injector@*                                             SKYNETwsp8.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main\injector@svchost.exe                                   SKYNETcont.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\main\tasks (not active ControlSet)                          
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules (not active ControlSet)                             
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETrk.sys                                        \systemroot\system32\drivers\SKYNETxtqxxylk.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETcmd.dll                                       \systemroot\system32\SKYNETvcnpevng.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETlog.dat                                       \systemroot\system32\SKYNETyueqxewb.dat
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETwsp.dll                                       \systemroot\system32\SKYNETchwmqbdv.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNET.dat                                          \systemroot\system32\SKYNETirvbmifp.dat
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETwsp8.dll                                      \systemroot\system32\SKYNETxewbscvh.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETconz.dll                                      \systemroot\system32\SKYNETuxnqweae.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETwsp8p.dll                                     \systemroot\system32\SKYNETnqbfaswq.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\SKYNETiornssfv\modules@SKYNETcont.dll                                      \systemroot\system32\SKYNETqhxfyxms.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys@start                                                             1
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys@type                                                              1
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys@imagepath                                                         \systemroot\system32\drivers\UACoextimxfmu.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys@group                                                             file system
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules (not active ControlSet)                                   
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACd                                                      \\?\globalroot\systemroot\system32\drivers\UACoextimxfmu.sys
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACc                                                      \\?\globalroot\systemroot\system32\UACwylyavbwuc.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACbbr                                                    \\?\globalroot\systemroot\system32\UACiumaxphxid.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACsr                                                     \\?\globalroot\systemroot\system32\UACverwimsnsf.dat
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacserf                                                   \\?\globalroot\systemroot\system32\UACoswxngbprt.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACerrors                                                 \\?\globalroot\systemroot\system32\UACpymecbnreq.log
Reg             HKLM\SYSTEM\ControlSet002\Services\zmbvreac@DisplayName                                                       Image Manager
Reg             HKLM\SYSTEM\ControlSet002\Services\zmbvreac@Type                                                              32
Reg             HKLM\SYSTEM\ControlSet002\Services\zmbvreac@Start                                                             2
Reg             HKLM\SYSTEM\ControlSet002\Services\zmbvreac@ErrorControl                                                      0
Reg             HKLM\SYSTEM\ControlSet002\Services\zmbvreac@ImagePath                                                         %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet002\Services\zmbvreac@ObjectName                                                        LocalSystem
Reg             HKLM\SYSTEM\ControlSet002\Services\zmbvreac@Description                                                       Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verf?gbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg             HKLM\SYSTEM\ControlSet002\Services\zmbvreac\Parameters (not active ControlSet)                                
Reg             HKLM\SYSTEM\ControlSet002\Services\zmbvreac\Parameters@ServiceDll                                             C:\WINDOWS\system32\dsxnmilp.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\zmbvreac@DisplayName                                                       Image Manager
Reg             HKLM\SYSTEM\ControlSet003\Services\zmbvreac@Type                                                              32
Reg             HKLM\SYSTEM\ControlSet003\Services\zmbvreac@Start                                                             2
Reg             HKLM\SYSTEM\ControlSet003\Services\zmbvreac@ErrorControl                                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\zmbvreac@ImagePath                                                         %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\zmbvreac@ObjectName                                                        LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\zmbvreac@Description                                                       Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verf?gbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg             HKLM\SYSTEM\ControlSet003\Services\zmbvreac\Parameters (not active ControlSet)                                
Reg             HKLM\SYSTEM\ControlSet003\Services\zmbvreac\Parameters@ServiceDll                                             C:\WINDOWS\system32\dsxnmilp.dll

---- EOF - GMER 1.0.15 ----
         
Wie gehe ich nun weiter vor?

Geändert von Runner (31.10.2009 um 15:14 Uhr)

Alt 31.10.2009, 15:09   #5
Larusso
/// Selecta Jahrusso
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?



wo sind die ganzen Logfiles?

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 31.10.2009, 15:25   #6
Runner
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?



Sorry ich kann die OTL Ergebnisse nicht posten. Die sind irgendwie zu lang.

Bin aber auf minimal Output gegangen.

Auch im "Code Tag" gehts nicht.


Alt 31.10.2009, 15:26   #7
Larusso
/// Selecta Jahrusso
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?



Zitat:
Zitat von Larusso Beitrag anzeigen
Bitte poste in Deiner nächsten Antwort
Logfile von SDFix
Beide Logfiles von OTL
Gmer Logfile
bitte nicht hochladen sondern aufteilen
Steht ja nicht zum Spass dabei

Noch was.

Was spricht gegen ein neu Installieren ?
Das sieht nicht gut aus
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 02.11.2009, 16:17   #8
Metalmanxxl
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?



Entschuldigung,

könnte sich das hier bitte mal jemand ansehen und seine Meinung mitteilen.

MfG


Protokoll Findykill:


----------------- FindyKill V4.005 ------------------

* User : PCS - LENOVO-ED8A7C5A
* Emplacement : C:\Programme\FindyKill
* Outils Mis a jours le 17/10/08 par Chiquitine29
* Recherche effectuée à 10:43:47 le 02.11.2009
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Autodesk\Data Management Server 2008\Server\Webserver\Connectivity.EDMWS.Server.exe
C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\FastNetSrv.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\FLEXlm\MDESIGN\lmgrd.exe
C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe
C:\Programme\FLEXlm\MDESIGN\lmgrd.exe
C:\Programme\FLEXlm\MDESIGN\TEDATA.exe
c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\DOKUME~1\PCS\LOKALE~1\Temp\b.exe
C:\WINDOWS\msb.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Lenovo\NPDIRECT\TPFNF7SP.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Lenovo\AwayTask\AwaySch.EXE
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
C:\Programme\Lenovo\Client Security Solution\cssauth.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\pdfforge Toolbar\SearchSettings.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\restorer32_a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wintems.exe
C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\flec006.exe
C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\DealAssistant\dealassistant.exe
C:\Dokumente und Einstellungen\PCS\reader_s.exe
C:\Dokumente und Einstellungen\PCS\restorer32_a.exe
C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\Microsoft\Windows\oulwsv.exe
C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Apoint2K\ApMsgFwd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Uniblue\RegistryBooster 2010\registrybooster.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

--------------- [ Processus infectieux stoppés ] ----------------


"C:\WINDOWS\system32\wintems.exe" (3460)
"C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\flec006.exe" (1864)


--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Present ! - C:\WINDOWS\prefetch\3862578.EXE-048435A3.pf
Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-33FC3620.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Présent ! - C:\WINDOWS\system32\drivers\mdelk.exe
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\down"
Présent ! - "C:\WINDOWS\system32\drivers\downld"

»»»» Presence des fichiers dans C:\Dokumente und Einstellungen\PCS\Anwendungsdaten

Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\flec006.exe"
Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\list.oct"
Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\data.oct"
Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\srvlist.oct"
Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\shared"
Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m"

»»»» Presence des fichiers dans C:\DOKUME~1\PCS\LOKALE~1\Temp


--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
PWRMGRTR REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
BLOG REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
TPFNF7 REG_SZ C:\Programme\Lenovo\NPDIRECT\TPFNF7SP.exe /r
TPHOTKEY REG_SZ C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
Apoint REG_SZ C:\Programme\Apoint2K\Apoint.exe
TpShocks REG_SZ TpShocks.exe
EZEJMNAP REG_SZ C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe
Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe
TVT Scheduler Proxy REG_SZ C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
SunJavaUpdateSched REG_SZ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
DLA REG_SZ C:\WINDOWS\System32\DLA\DLACTRLW.EXE
ISUSPM Startup REG_SZ C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
ISUSScheduler REG_SZ "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
AwaySch REG_SZ C:\Programme\Lenovo\AwayTask\AwaySch.EXE
LPManager REG_SZ C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
AMSG REG_SZ C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
DiskeeperSystray REG_SZ "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
cssauth REG_SZ "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent
WinampAgent REG_SZ C:\Programme\Winamp\winampa.exe
QuickTime Task REG_SZ "C:\Programme\QuickTime\qttask.exe" -atboottime
iTunesHelper REG_SZ "C:\Programme\iTunes\iTunesHelper.exe"
Adobe Reader Speed Launcher REG_SZ "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
SearchSettings REG_SZ C:\Programme\pdfforge Toolbar\SearchSettings.exe
VirtualCloneDrive REG_SZ "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
<NO NAME> REG_SZ
StatusClient REG_SZ C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
TomcatStartup REG_SZ C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
net REG_SZ "C:\WINDOWS\system32\net.net"
ter8m REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w
reader_s REG_SZ C:\WINDOWS\System32\reader_s.exe
restorer32_a REG_SZ C:\WINDOWS\system32\restorer32_a.exe
Windows System Defender REG_SZ "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\e5a1660\WSe5a1.exe" /s /d
Regedit32 REG_SZ C:\WINDOWS\system32\regedit.exe
ClamWin REG_SZ "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
Winpooch REG_SZ C:\Programme\Winpooch\Winpooch.exe
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
PopRock REG_SZ C:\DOKUME~1\PCS\LOKALE~1\Temp\b.exe
DealAssistant REG_SZ C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\DealAssistant\dealassistant.exe
reader_s REG_SZ C:\Dokumente und Einstellungen\PCS\reader_s.exe
restorer32_a REG_SZ C:\Dokumente und Einstellungen\PCS\restorer32_a.exe
SfKg6wIPuSpdcduD7 REG_SZ C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\Microsoft\Windows\oulwsv.exe
NordBull REG_SZ C:\WINDOWS\msb.exe
SpybotSD TeaTimer REG_SZ C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\not active

--------------- [ Registre / Clés infectieuses ] ----------------


Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\Local AppWizard-Generated Applications\uiytuhjy
Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\FirstRRRun
Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\FirtR
Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\MuleAppData
Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\uiytuhjy
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
Présent ! - HKEY_CURRENT_USER\Software\XYZ
Présent ! - HKEY_CURRENT_USER\Software\FirtR
Présent ! - HKEY_CURRENT_USER\Software\FirstRRRun

--------------- [ Etat / Services ] ----------------


+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Eingebautes Laufwerk


+- presence des fichiers :



--------------- [ Registre / Moutpoint2 ] ----------------


-> Recherche négative.


------------------- ! Fin du rapport ! --------------------

Alt 02.11.2009, 16:29   #9
Larusso
/// Selecta Jahrusso
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?



@ Mentalmaxxl

Format C ist hierbei der einzige Weg was sinnvoll ist.
Und nicht in Fremde Threads posten, der hier gehört runner.


So Back

MBR ist OK


schritt 1

Registry mit ERUNT sichern

Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.


schritt 2

Abgesicherterten Modus reparieren
  • Lade das SafeMode-Regfix herunter,
  • entpacke es auf den Desktop.
  • Mache einen Doppelklick auf die "SafeMode Repair.reg",
  • klicke auf "OK" und beantworte die Frage mit "Ja".
  • Starte den Rechner neu.
Zitat:
Obiges Skript wird nur die Standard-Registry-Einträge für den abgesicherten Modus zurücksetzen, die möglicherweise durch Malware geändert wurden und so dafür sorgen, dass Du nicht in den abgesicherten Modus kommst. Bei Rechnern mit speziellen Treibern für den abgesicherten Modus wird das Skript nicht funktionieren, aber einen Versuch ist es wert.

Berichte ob es geklappt hat.
Windows CD ist vorhanden wie ich gelesen habe
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 02.11.2009, 16:40   #10
Runner
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?



Anleitung befolgt ;D

Der abgesicherte Modus funktioniert.

Alt 02.11.2009, 16:49   #11
Larusso
/// Selecta Jahrusso
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?



<< the best

So räumen wir auf

Tool-Bereinigung mit OTM

Wir werden nun die CleanUp!-Funktion von OTM nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTM von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTM.exe um das Programm auszuführen.
    Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Klicke auf den Button "CleanUp!"
  • OTM fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTM und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zu CCleaner kommen wir dann noch. Der kann das nämlich auch
Schlankes AntiViren Programm Avira

Poste mir bitte eine HJT Logfile und berichte wie sich der Rechner macht.
(ich meld mich gegen 22 uhr wieder. Muss in die schule )
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 02.11.2009, 17:03   #12
Runner
 
Wie kann ich diese Viren entfernen? - Standard

Wie kann ich diese Viren entfernen?



Super und nochmal vielen Dank.

Der Rechner macht sich sehr gut. Läuft soweit alles perfekt.

EDIT: Nur der vorletzte Eintrag bei HJT ich habe hier keine Google Software installiert (Googel Earth oder sonstiges). Ich sehe auch keinen Google Ordner in den Programmen oder Software etc:

Code:
ATTFilter
O23 - Service: Google Update Service (gupdate1c9b2e728892258) (gupdate1c9b2e728892258) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing)
         

HJT:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59:55, on 02.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256911654937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256911647296
O17 - HKLM\System\CCS\Services\Tcpip\..\{D753F73B-AD74-42FA-9D69-D412D8028F93}: NameServer = 192.168.2.1
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1c9b2e728892258) (gupdate1c9b2e728892258) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 3401 bytes
         

Geändert von Runner (02.11.2009 um 17:09 Uhr)

Antwort

Themen zu Wie kann ich diese Viren entfernen?
7 viren, anfang, antivir, automatische, autostart, avast, avast!, avg, c:\windows\temp, einstellungen, entfernen, f-secure, fehler, gen, gupdate, hijack, hijackthis, hkus\s-1-5-18, laptop, linux, microsoft, nicht mehr, nicht öffnen, rechner, sdra64.exe, seite, seiten, sicherheitscenter, software, sp3, updates, userinit.exe, viren, viren entfernen, windows, windows\temp, öffnen




Ähnliche Themen: Wie kann ich diese Viren entfernen?


  1. Ashampoo findet gefährliche Viren und Trojaner, kann diese weder löschen noch in Quarantäne schieben
    Log-Analyse und Auswertung - 16.10.2015 (1)
  2. Kann jemand diese Files auf Viren überprüfen?
    Log-Analyse und Auswertung - 02.10.2014 (3)
  3. Ich habe über 600 infizierte Dateien,wie kann ich diese reparieren oder entfernen
    Plagegeister aller Art und deren Bekämpfung - 26.03.2014 (5)
  4. Browser haben neue Startseite "Awesomehp" - Wie kann ich diese wieder entfernen?
    Log-Analyse und Auswertung - 13.02.2014 (7)
  5. Windows 8 - SpyBot findet Maleware C kann diese aber nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 18.12.2013 (9)
  6. Iminent + deal-finder + regcleanpro + Bonanza - Störprogramme machen Laptop zu langsam- wie kann ich diese komplett entfernen
    Log-Analyse und Auswertung - 15.11.2013 (19)
  7. TR/Crypt.ZPACK.Gen2, Adware/InstallCore.Gen, TR/black.Gen2: Wie kann ich diese Trojaner entfernen?
    Log-Analyse und Auswertung - 12.07.2013 (3)
  8. TR/ATRAPS.Gen und .Gen2 kann diese nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (31)
  9. Wie werde ich diese Viren/Trojaner los ?
    Antiviren-, Firewall- und andere Schutzprogramme - 10.06.2012 (10)
  10. 7 Viren-Dateien von AntiVir gefunden! Wie kann ich diese entfernen bitte ?
    Log-Analyse und Auswertung - 07.03.2012 (22)
  11. Darf ich diese Viren löschen?
    Antiviren-, Firewall- und andere Schutzprogramme - 31.07.2010 (3)
  12. bitdefender hat viren erkannt, kann aber diese nicht löschen
    Mülltonne - 25.08.2008 (0)
  13. Hilfe!!! Virus oder Viren, die ich nicht entfernen kann...
    Plagegeister aller Art und deren Bekämpfung - 23.01.2006 (1)
  14. Wie kann ich diese Trojaner entfernen?
    Plagegeister aller Art und deren Bekämpfung - 25.01.2005 (1)
  15. Need Help! Wie kann ich diese Viren entfernen???
    Log-Analyse und Auswertung - 13.01.2005 (1)
  16. wie krieg ich diese viren weg???
    Plagegeister aller Art und deren Bekämpfung - 13.01.2005 (1)
  17. Immer diese Viren ^^
    Log-Analyse und Auswertung - 22.12.2004 (7)

Zum Thema Wie kann ich diese Viren entfernen? - Guten Tag, ich habe einen Laptop von einer Bekannten bekommen auf dem sich einiges an Viren angesammelt hat. Auf dem Laptop befand sich WinXP-Home mit dem SP2. Der Rechner lief - Wie kann ich diese Viren entfernen?...
Archiv
Du betrachtest: Wie kann ich diese Viren entfernen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.