Gut, ich habe meinen PC nun mehrfach neu aufgesetzt, was meinen neuen Störenfried wohl kaum beeindruckt.Erst scheint alles Clean zu sein nach einer neu-Aufsetung, aber nach 2-3 Tagen taucht der Virus wie aus dem Nichts wieder auf.
Hier ein paar logs die ich in den letzten Tagen mit
Malwarebytes bekommen hab:
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4866
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
18.10.2010 17:59:16
mbam-log-2010-10-18 (17-59-16).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 143179
Laufzeit: 4 Minute(n), 45 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapidrv (Rootkit.Agent) -> No action taken.
Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netlog2 (Trojan.Sisproc.Gen) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netlog3 (Trojan.Sisproc.Gen) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\init (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\win (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\init (Malware.Trace) -> No action taken.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\win (Malware.Trace) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Dropper) -> Data: c:\windows\svchost.exe -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\svc2.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\WINDOWS\svc3.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\autorun.inf (Malware.Packer.Mew) -> No action taken.
C:\copy.exe (Malware.Packer.Mew) -> No action taken.
C:\host.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\svchost.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\xcopy.exe (Malware.Packer.Mew) -> No action taken.
C:\WINDOWS\system32\szetyj67vx.exe (Trojan.LVBP) -> No action taken.
C:\WINDOWS\system32\updata.exe (Trojan.Clicker) -> No action taken.
C:\WINDOWS\Temp\1wt1dn2u.exe (Trojan.LVBP) -> No action taken.
C:\WINDOWS\Temp\b7stfkx3v.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\mius8n48.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\WINDOWS\Temp\qv8e6sppo.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\WINDOWS\Temp\VRT1.tmp (Trojan.Dropper) -> No action taken.
D:\copy.exe (Malware.Packer.Mew) -> No action taken.
D:\host.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\comsats.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\szetyj67v.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\drivers\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
|
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4881
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
19.10.2010 16:49:44
mbam-log-2010-10-19 (16-49-44).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 142872
Laufzeit: 5 Minute(n), 17 Sekunde(n)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17
Infizierte Speicherprozesse:
C:\WINDOWS\Fonts\services.exe (Trojan.Agent) -> No action taken.
Infizierte Speichermodule:
C:\WINDOWS\system32\MSWINSCK.OCX (Worm.Nyxem) -> No action taken.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d} (Worm.Nyxem) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d} (Worm.Nyxem) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d} (Worm.Nyxem) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d} (Worm.Nyxem) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d} (Worm.Nyxem) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapidrv (Rootkit.Agent) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\apps (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\3tulha (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\init (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\win (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\init (Malware.Trace) -> No action taken.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\win (Malware.Trace) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\Fonts\services.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\vo0xz1.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\Raphael\Lokale Einstellungen\Temp\cbf49ep8.exe (Trojan.Agent.Gen) -> No action taken.
C:\Dokumente und Einstellungen\Raphael\Lokale Einstellungen\Temp\t56lms8v.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\Dokumente und Einstellungen\Raphael\Lokale Einstellungen\Temp\hzj43qiw.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\Dokumente und Einstellungen\Raphael\Lokale Einstellungen\Temp\jv4vup20g.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Raphael\Lokale Einstellungen\Temp\kbbu08s5.exe (Trojan.LVBP) -> No action taken.
C:\Dokumente und Einstellungen\Raphael\Lokale Einstellungen\Temp\vo0xz1.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\svc2.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\WINDOWS\svc3.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\WINDOWS\system32\MSWINSCK.OCX (Worm.Nyxem) -> No action taken.
C:\WINDOWS\system32\szetyj67vx.exe (Trojan.LVBP) -> No action taken.
C:\WINDOWS\system32\updata.exe (Trojan.Clicker) -> No action taken.
C:\WINDOWS\system32\comsats.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\service.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\szetyj67v.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\drivers\AtapiDrv.sys (Rootkit.Agent) -> No action taken.
|
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4881
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
21.10.2010 18:50:12
mbam-log-2010-10-21 (18-50-12).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 145630
Laufzeit: 6 Minute(n), 54 Sekunde(n)
Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 10
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15
Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Raphael\Lokale Einstellungen\Temp\vo0xz1.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\szetyj67vx.exe (Trojan.LVBP) -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d} (Worm.Nyxem) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d} (Worm.Nyxem) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d} (Worm.Nyxem) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d} (Worm.Nyxem) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d} (Worm.Nyxem) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\3tulha (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\szetyj67vx (Trojan.LVBP) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\apps (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netlog2 (Trojan.Sisproc.Gen) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netlog3 (Trojan.Sisproc.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\szetyj67v (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\init (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\win (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\init (Malware.Trace) -> No action taken.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\win (Malware.Trace) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\Raphael\Lokale Einstellungen\Temp\vo0xz1.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\szetyj67vx.exe (Trojan.LVBP) -> No action taken.
C:\WINDOWS\Fonts\services.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\svc2.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\WINDOWS\svc3.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\WINDOWS\system32\MSWINSCK.OCX (Worm.Nyxem) -> No action taken.
C:\WINDOWS\system32\updata.exe (Trojan.Clicker) -> No action taken.
C:\WINDOWS\Temp\a7gr278ev.exe (Trojan.Agent.Gen) -> No action taken.
C:\WINDOWS\Temp\gm3zjl7c.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\ozmq392ok.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\WINDOWS\Temp\x5hr6x4kg.exe (Trojan.LVBP) -> No action taken.
C:\WINDOWS\Temp\xz9opw3z.exe (Trojan.Sisproc.Gen) -> No action taken.
C:\WINDOWS\system32\comsats.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\service.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\szetyj67v.exe (Trojan.Dropper) -> No action taken.
|
Ich erwarte nich anhand dieser Logs das mir jemand eine Fertig-Lösung wie ich den Virus ohne neu-Aufsetzung von meinem Rechner bekomme(Eine weitere neu-Aufsetzung ist nach den vielen wohl kein Ärgerniss mehr für mich), sondern eher was genau das für eine Virus ist und wie , falls ich neu-Aufsetze verhindern kann das dieser wieder kommt.
Ich habe öfters gemerkt wie sich im Task-Manager unter Anwendungen, die Anwendung "szetyj67v" eingeschlichen hat welche mir sehr susbekt vorkommt.
Ich hab mal in der Ausführung unter "MSCONFIG" meine Autostart Liste geprüft und folgendes Aufälliges gefunden:
szetyj67v C:\WINDOWS\system32\szetyj67v.exe HKLM\SOFTWARE\Microsoft\CurrentVersion\Run
szetyj67vx C:\WINDOWS\system32\szetyj67v.exe HKLM\SOFTWARE\Microsoft\CurrentVersion\Run
svc2 C:\WINDOWS\svc2.exe HKLM\SOFTWARE\Microsoft\CurrentVersion\Run
svc3 C:\WINDOWS\svc3.exe HKLM\SOFTWARE\Microsoft\CurrentVersion\Run
Eine kleine beschreibung wie der Virus sich auswirkt:Wenn ich mit Google etwas Suche, und auf einen beliebigen Link klicke werde ich erst auf folgenden Link umgeleitet "hxxp://megasearch7.org/gosearch.php?q=virus"
danach auf eine Sexseite(immer dieselbe).Der Virus verhindert auch das ich etwas downloade, da alles was ich versuche zu downloaden direkt abgebrochen wird.Weshalb ich auch leider keine Hijack Liste posten konnte, da ich das Program vorher nicht besaß.
Mit hoffenden Grüßen Hilfe zu bekommen, Amaron.
21.10.2010, 18:42
Baum-Darstellung