Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Habe Beschwerden durch evtl. Viren etc. (https://www.trojaner-board.de/61893-habe-beschwerden-evtl-viren-etc.html)

respect-me 12.10.2008 02:28
Habe Beschwerden durch evtl. Viren etc.
 
Hallo

Ich habe einen Windows XP Computer und habe ein großes Problem derzeit mit meinem PC. Ich habe mir nämlich heute einen Virus eingefangen und seitdem hab ich mehrere Beschwerden mit meinem PC. Zum einen erscheint inzwischen in der Taskleiste immer dieser rote Kreis mit dem weißen Kreuz, der mir auf Englisch erzählt, dass mein PC infiziert ist. Dazu dreht er mir auch noch andauernd so ein Anti-Spyware-Programm zum Download an.

Den Text, den es da immer anzeigt ist folgender: Your computer is infected! Windows has detected spyware infection! It is recomended to use special antispyware tools to pervent data loss. Windows will now download and install the most up-to-date antispyware for you. Click here to protect your computer from spyware!

Dieses hab ich dann natürlich auch gedownloadet – doch dadurch gab’s dann nur noch mehr Viren (Spyware/Trojaner). Ich habe dann auch mal mit Antivir meinen PC durchsucht und es ergab auch einige Treffer. Die Dateien hab ich alle in die Quaratäne verschoben und bin dann im Menü anschließend auf Löschen gegangen. Beim weiteren Scannen kamen dann noch komischerweise zwei Dateien hinzu, die ich dann auch mittels Quarantäne gelöscht hab. Bei einem weiteren Antivir-Scan gab’s dann auch keine Funde mehr. Auch, nachdem ich den PC neu gestartet habe.
Aber trotzdem ist dieser rote Kreis mit dem Kreuz immer noch da. Und ebenfalls wird mir auch ab und zu so eine weitere Nachricht auf English angezeigt. Da steht dann immer „block“ und „unblock“ zur Auswahl da, welches man aber beides nicht anklicken kann. Sowie noch „enable protection“, wovon ich nicht weiß, was das übersetzt heißt. (es war das einzige der drei, dass man anklicken konnte) Ich hab das Fenster dann einfach geschlossen, weil ich nicht wusste, wie ich handeln sollte.

Ich wusste jetzt nicht, ob ich das alles erwähnen soll, aber ich empfand’s einfach mal besser es zu tun. Ich hoffe, ihr könnt mir irgendwie helfen. Ich wäre euch sehr dankbar!

EDIT: Ebenso muss ich auch meine Firewall immer wieder erneut aktiveren, wenn ich meinen PC hochfahre. Ist vielleicht wichtig, das noch zu erwähnen.

Hier auch meine log-File:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:15:59, on 12.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wzubapur.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\tbu9\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\tbu9\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [Cmd] C:\WINDOWS\command.win MsDos
O4 - HKLM\..\Run: [MsConfig] C:\WINDOWS\system.win Microsoft
O4 - HKLM\..\Run: [WindowsVersion] C:\WINDOWS\boot.win Home Edition
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [ChkHlp] C:\WINDOWS\system32\wzubapur.exe
O4 - HKCU\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A440D27-C229-4D3E-9BA4-3E167D905768}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A440D27-C229-4D3E-9BA4-3E167D905768}: NameServer = 192.168.178.1
O21 - SSODL: hlpmsgset - {53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Programme\kvldqtb\hlpmsgset.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe

--
End of file - 5082 bytes

respect-me 12.10.2008 12:33
Kann man mir denn nicht helfen? Sieht es so hoffnungslos aus? :heulen: Ich weiß nicht, was ich genau nun machen soll... Brauche wirklich Hilfe... Ich habe lieder nicht allzu Ahnung vom PC... :heulen:
Bitte helft mir doch.. Ich wäre euch wirklich dankbar.

respect-me 12.10.2008 15:08
Hier auch mal mein aktueller AntiVir-Report:

Code:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 12. Oktober 2008  15:43

Es wird nach 1677110 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 3)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    XXX-1

Versionsinformationen:
BUILD.DAT    : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  26.06.2008 08:57:49
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL  : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 13:54:15
ANTIVIR2.VDF  : 7.0.7.12    4066816 Bytes  08.10.2008 13:07:54
ANTIVIR3.VDF  : 7.0.7.28      120320 Bytes  11.10.2008 13:57:42
Engineversion : 8.1.1.35 
AEVDF.DLL    : 8.1.0.5      102772 Bytes  09.07.2008 08:38:31
AESCRIPT.DLL  : 8.1.0.76      319867 Bytes  30.09.2008 21:34:23
AESCN.DLL    : 8.1.0.23      119156 Bytes  22.08.2008 09:42:24
AERDL.DLL    : 8.1.1.2      438644 Bytes  30.09.2008 21:34:22
AEPACK.DLL    : 8.1.2.3      364918 Bytes  30.09.2008 21:34:21
AEOFFICE.DLL  : 8.1.0.25      196986 Bytes  30.09.2008 21:34:19
AEHEUR.DLL    : 8.1.0.59    1438071 Bytes  30.09.2008 21:34:18
AEHELP.DLL    : 8.1.0.15      115063 Bytes  09.07.2008 08:38:31
AEGEN.DLL    : 8.1.0.36      315764 Bytes  22.08.2008 09:42:18
AEEMU.DLL    : 8.1.0.7      430452 Bytes  22.08.2008 09:42:17
AECORE.DLL    : 8.1.1.11      172406 Bytes  30.09.2008 21:34:14
AEBB.DLL      : 8.1.0.1        53617 Bytes  24.04.2008 08:50:42
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL    : 8.0.0.2        98344 Bytes  22.08.2008 09:42:15
AVREG.DLL    : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  12.06.2008 12:49:36
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 12. Oktober 2008  15:43

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wzubapur.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brastk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '24' Prozesse mit '24' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '50' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\Binaries1.cab2
    [0] Archivtyp: CAB (Microsoft)
    --> comp.dat
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'D:\' <Daten>


Ende des Suchlaufs: Sonntag, 12. Oktober 2008  16:01
Benötigte Zeit: 18:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  3238 Verzeichnisse wurden überprüft
 105119 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 105118 Dateien ohne Befall
    706 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise
Soll ich evtl. auch mal diesen CCleaner oder ComboFix benutzen? Weil ich das hier gerade im Forum gelesen hab, dass das schon mehrere User mit mehr oder weniger demselben Problem gemacht haben. War mir nicht sicher, ob ich das machen soll, also habe ich es bisher gelassen.
Bitte helft mir! Danke!

(wollte diesen Beitrag auch eig. in den anderen noch hinzu editieren, aber irgendwie wollte das nicht... :( Sorry deswegen..)

Silvana 12.10.2008 16:00
hi habe genau das gleiche problem :( und das auch seit gestern! wusste mir keinen anderen rat un dhabe mir spyware doctor gekauft das müsste die tage kommen und dann werde ich ja sehen ob das was bringt!

wäre aber schön wenn sich hier nochjemand zu wort melden würde denn auch ich habe null ahnung von pc´s :(

nochdigger 12.10.2008 18:20
Hallo

@Silvana eröffne bitte einen eigenen Beitrag, es wird hier sonst zu unübersichtlich, Danke


@respect-me

lass bitte diese Dateien
Zitat:
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wzubapur.exe
C:\WINDOWS\command.win
C:\WINDOWS\system.win
C:\WINDOWS\boot.win
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Programme\kvldqtb\hlpmsgset.dll
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde.
Oder du verlinkst auf die Scanergebnisse.

Überprüfe dein System ebenfalls mit Smitfraudfix (Option 1)
SmitFraudFix
poste den rapport.txt hierher.

MFG

dario 12.10.2008 18:29
Ihr Computer infiziert ist! Windows hat festgestellt, Spyware-Infektion! Es wird empfohlen, spezielle Anti-Spyware-Tools auf pervent Datenverlust. Windows wird jetzt herunterladen und installieren, die die meisten up-to-date Anti-Spyware für Sie. Klicken Sie hier, um zum Schutz Ihres Computers vor Spyware

Sunny 12.10.2008 18:31
Zitat:
Zitat von dario (Beitrag 381752)
Ihr Computer infiziert ist! Windows hat festgestellt, Spyware-Infektion! Es wird empfohlen, spezielle Anti-Spyware-Tools auf pervent Datenverlust. Windows wird jetzt herunterladen und installieren, die die meisten up-to-date Anti-Spyware für Sie. Klicken Sie hier, um zum Schutz Ihres Computers vor Spyware
Was willst du uns mit diesem Beitrag, welche von Google-Translator übersetzt wurde, sagen?! :confused:

respect-me 12.10.2008 20:11
Danke für deine Antwort nochdigger. Hier sind schonmal die Auswertungen von VirusTotal:

C:\WINDOWS\system32\brastk.exe:
Code:
File size: 10240 bytes
MD5...: 3caa0f59db37f03804e5022785c8cdc2
SHA1..: 1dcb14a1a0325913a2a276cc34e80df054fc215b
C:\WINDOWS\system32\drivers\svchost.exe:
Code:
File size: 32768 bytes
MD5...: 736ed68e4378b1e466177e896be557eb
SHA1..: 5a5d27a6ce60dc5f61a6a8ea4438509c5e0d6b14
C:\WINDOWS\system32\wzubapur.exe:
Code:
File size: 77824 bytes
MD5...: 464254048b8750e3b3f6cd955e9298e3
SHA1..: 0da2d4f80575a784726884da6e2f00af22e8d9ab
C:\WINDOWS\command.win (diese Datei hab ich nur unter dem "system32"-Verzeichnis gefunden, mit der Endung "com", statt "win". Habe sie dann einfach mal scannen lassen...):
Code:
File size: 52777 bytes
MD5...: 51bc6d5244eb71fc3e698929601e222d
SHA1..: 8f60cdbf50c718fc7a2374c39f45e51f034d7c7d
C:\WINDOWS\system.win (eine Datei mit "win" gab's komischerweise nicht, sondern nur eine mit der Endung "ini", also hab ich einfach mal diese scannen lassen..):
Code:
File size: 227 bytes
MD5...: c9dd76d0ef94637c77ff8ca5e0fb0684
SHA1..: e2f52bfcc90e47eb318020cbaee4a6f0fcb3fe9b
C:\WINDOWS\boot.win (diese Datei hab ich nur als "bootstat.dat" gefunden und sie dann auch mal scannen lassen..):
Code:
File size: 2048 bytes
MD5...: 6a2cb42966136854f4464516fbb4ae72
SHA1..: 8895ff16d9470572b773836e7ceaa6224a54551f
C:\WINDOWS\system32\brastk.exe
und
C:\WINDOWS\system32\drivers\svchost.exe
hast du im Zitat von dir zweimal angegeben seh ich gerade, aber ich habe beide nur einmal gefunden. (siehe weiter oben im Posting)

C:\Programme\kvldqtb\hlpmsgset.dll
Code:
File size: 106496 bytes
MD5...: c97f7fcb8482903438c64c9e1cdab96c
SHA1..: 08fb79fdcdcd70aa32386d1f19965496734dcbba

respect-me 12.10.2008 20:21
Und hier ist rapport.txt von SmitFraudFix:

Code:
SmitFraudFix v2.359

Scan done at 21:17:07,29, 12.10.2008
Run from C:\Dokumente und Einstellungen\XXX\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wzubapur.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXX\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\brastk.exe FOUND !
C:\WINDOWS\system32\drivers\svchost.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\XXX


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\XXX\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\XXX\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\akl\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine II Fast Ethernet Adapter
DNS Server Search Order: 192.168.178.1

Description: IEEE 802.11g Wireless Cardbus/PCI Adapter
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2A440D27-C229-4D3E-9BA4-3E167D905768}: NameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7155BE31-D4E8-43E5-A264-72406DD38F01}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2A440D27-C229-4D3E-9BA4-3E167D905768}: NameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7155BE31-D4E8-43E5-A264-72406DD38F01}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2A440D27-C229-4D3E-9BA4-3E167D905768}: NameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Wie muss ich nun fortfahren?
Bis hierhin schonmal ein Dankeschön!
LG
respect-me

nochdigger 12.10.2008 22:54
Hallo

die Auswertungen sind sooo nicht zu gebrauchen, entweder verlinkst du auf die Ergebnisse bei Virustotal (usw.) oder aber postest das gesamte Ergebnis hierher:rolleyes:.

Wende dann nacheinander an
Smitfraudfix mit der Option 2 im abgesicherten Modus (beim start F8 drücken), neustart in den normalen Modus und dann Malwarebytes und zu zuletzt Combofix laufen lassen
Zitat:
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
Poste anschließend bitte alle Logs hierher.

MFG

respect-me 12.10.2008 23:17
Oh, entschuldigung... *schäm* Ich hoffe, das macht keine Umstände oder so. Das wäre mir unangenehm...

Hier die einzelnen Links, der Dateien, dich ich bei VirusTotal gescannt habe:

C:\WINDOWS\system32\brastk.exe:
Virustotal. MD5: 3caa0f59db37f03804e5022785c8cdc2 Suspicious:W32/Malware!Gemini TrojanDownloader:Win32/Renos SHeur.CNYJ

C:\WINDOWS\system32\drivers\svchost.exe:
Virustotal. MD5: 736ed68e4378b1e466177e896be557eb Packed.Generic.187 a variant of Win32/TrojanDownloader.FakeAlert.KB TrojanDownloader:Win32/Small.IQ

C:\WINDOWS\system32\wzubapur.exe:
Virustotal. MD5: 464254048b8750e3b3f6cd955e9298e3 Packed.Generic.182 FakeAlert-BD Trojan.Win32.Obfuscated.gx

C:\WINDOWS\command.win (diese Datei hab ich nur unter dem "system32"-Verzeichnis gefunden, mit der Endung "com", statt "win". Habe sie dann einfach mal scannen lassen...):
Virustotal. MD5: 51bc6d5244eb71fc3e698929601e222d

C:\WINDOWS\system.win (eine Datei mit "win" gab's komischerweise nicht, sondern nur eine mit der Endung "ini", also hab ich einfach mal diese scannen lassen..):
Virustotal. MD5: c9dd76d0ef94637c77ff8ca5e0fb0684

C:\WINDOWS\boot.win (diese Datei hab ich nur als "bootstat.dat" gefunden und sie dann auch mal scannen lassen..):
Virustotal. MD5: 6a2cb42966136854f4464516fbb4ae72

C:\Programme\kvldqtb\hlpmsgset.dll
Virustotal. MD5: c97f7fcb8482903438c64c9e1cdab96c Win32:PureMorph Win32:PureMorph Virus.Win32.PureMorph

Werde nun mal die Punkte "abarbeiten".
Dankeschön!

respect-me 12.10.2008 23:31
Hier ist der neue rapport.txt:

Code:
SmitFraudFix v2.359

Scan done at  0:20:36,45, 13.10.2008
Run from C:\Dokumente und Einstellungen\XXX\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1      localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\brastk.exe Deleted
C:\WINDOWS\system32\drivers\svchost.exe Deleted
C:\Programme\akl\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2A440D27-C229-4D3E-9BA4-3E167D905768}: NameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7155BE31-D4E8-43E5-A264-72406DD38F01}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2A440D27-C229-4D3E-9BA4-3E167D905768}: NameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7155BE31-D4E8-43E5-A264-72406DD38F01}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2A440D27-C229-4D3E-9BA4-3E167D905768}: NameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Der rote Punkt mit dem weißen Kreuz ist nach dem Hochfahren schonmal verschwunden. *jubel*

respect-me 13.10.2008 00:05
Der log von MalWareBytes:

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1261
Windows 5.1.2600 Service Pack 3

13.10.2008 01:00:21
mbam-log-2008-10-13 (01-00-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 72827
Laufzeit: 22 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 37
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 66

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{53699353-0C4C-57EE-A7D0-099BF33A1E62} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\hlpmsgset (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\chkhlp (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\XP_AntiSpyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\kvldqtb\hlpmsgset.dll (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\wzubapur.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\XP_AntiSpyware\Uninstall.exe (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini104552502.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

respect-me 13.10.2008 00:17
Eine Frage hätte ich da noch:

Zitat:
Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Was sind denn Hintergrundwächter? Ist die Firewall z. B. so etwas? Und woher weiß ich, dass ich alle Wächter deaktiviert habe? Gibt's da vielleicht irgendwo ein Menu, wo man das sehen kann?
Ich wäre sehr dankbar, wenn mir diese Fragen noch jemand schnell beantworten kann, dann beginne ich nämlich gleich, die noch fehlenden Punkte abzuarbeiten. (CCleaner, ComboFix)

Dankeschön! (im Vorraus, sowie auch bisher bei meiner Hilfe)
LG
respect-me

respect-me 13.10.2008 14:57
Hilfe!!
Ein neuer Virus kam gerade plötzlich! Dabei habe ich gerade nichts an meinem PC gemacht. Weder Web-Browser, noch sonst was lief...
Hab es in die Quarantäne von AntiVir verschoben (aber noch nicht dort gelöscht).
Unter "Ergebnisse" zeigt es folgenden Text an:

Code:
In der Datei 'C:\System Volume Information\_restore{277ADB26-7F7C-4F7F-AC8A-07671E92254A}\RP393\A0180620.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Wie soll ich nun fortfahren?


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:51 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19