hmm leider geht die Anmeldung auf virusinfo.info nicht da ich keinen letterbox angezeigt bekomme und somit die buchstaben/zahlenreinfolge nicht eingeben kann:/

gibts dafür auch ne lösung bzw is das durch den virus entstandne?

Zitat:

Zitat von juic3

hmm leider geht die Anmeldung auf virusinfo.info nicht da ich keinen letterbox angezeigt bekomme

Schicke mir die erstellten nach der Anleitung 3 Logfiles per E-Mail. Die Adresse bekommst du über private Nachrichten. Ich werde die heute Abend anschauen.

okay habe ich dir gerade gemailt. vielen dank!

Zitat:

Zitat von juic3

okay habe ich dir gerade gemailt. vielen dank!

EDIT:
Führe im AVZ den folgenden Script aus:

Zitat:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_Activate;
RebootWindows(true);
end.

Nach dem Neustart erstelle den neuen HJT_log

die 2 sachen gefixed + script

sorry bin bissl im stress grad deswegen solange reply dauer


Logfile of HijackThis v1.99.1
Scan saved at 15:08:13, on 15.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\userinit.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
\Epc3srv\gmg-gmg\bin\ShortcutLauncher.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\BHPS\JRE142\bin\javaw.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\****\Desktop\aa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://*****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = ht****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = microweb
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [EPC Integration] C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
O4 - HKLM\..\Run: [HPWT myPrintMileage Agent] C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - Startup: ADP.lnk = C:\TUN\EMUL\emul32.exe
O4 - Startup: EPC 3.lnk = bin\ShortcutLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS3\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

Zitat:

Zitat von juic3

die 2 sachen gefixed + script

Du merkst ja - es hat nichts geholfen.

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

Also bekommt man das Problem ohne Neuinstallation nicht in griff.
BTW: Das Anmeldeproblem beim VirusInfo habe ich gemeldet, bis dato geschah aber nichts: das Forum stand eine Woche lang unterm staken DDoS-Beschuss und die Admins sind noch im Begriff, die Folgen zu beseitigen.
EDIT: ich habe deine Logfiles bei VirusInfo platziert, Kannst du mir noch den Inhalt des Ordners Quarantine (als ZIP-Datei Paswortgeschützt (Passwort virus)) per E-Mail senden? Danke.

na ich dank eher dir die email is in 2min unterwegs.

Zitat:

Zitat von juic3

na ich dank eher dir die email is in 2min unterwegs.

Versuche mal noch diesen Script

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile(C:\WINDOWS\system32\ntos.exe)
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
         

den hat ein Kollege aus dem Vi-Forum empfohlen
EDIT> Ich wollte eigentlich ntos.exe sehen, Script geändert. Wenn die Datei in die Qurantine landet bitte noch mal senden.
Die Datei in *.dat in der Quarantine umbenennen in ProQuestKbdSimInterface.dll, ins Verzeichnis

Zitat:

C:\Programme\BHPS\Pia2\

zurück kopieren und an newvirus@z-oleg.com senden: das ist ein Fehlalarm.
EDIT2: HiJackthis hier nehmen http://www.trendsecure.com/portal/en...HiJackThis.zip

Fehlermeldung bei check syntax

Error: ')' expected at position 4:18

und was wie wo is nen fehlalarm?

hi also hab die dta datei umbenannt in das verzeichnis kopiert und dann aus dem verzeichnis raus an oleg geschickt. hoffe ich habe das so richtig verstandne. musst die datei allerdings überschreiben ! die kb grösse war jedoch gleich.

in der msconfig hab ich unter autostart noch die ntos.exe stehen , aber ohne haken . kann/sollfalls ja wie, diese einträge löschen?

Zitat:

Zitat von juic3

hmm leider geht die Anmeldung auf virusinfo.info nicht da ich keinen letterbox angezeigt

Ich habe alles überprüft und verstehe nicht - warum? Âèðóñ Èíôî | Virus Info - Ïðàâèëà ôîðóìà - funktioiniert den Link bei Dir? Dann alles lesen, Haken gegen I have read setzen und aufs Icon Register drücken. Dann kommt man zu den Anmeldefeldern.

beim anmelde festern gibst du den benutzername ein
das pw , nochmal pw

email email

blablub

unten kommt dann ein feld wo man deine zahlencombi eingeben soll die recht im fenster steht. bei mir steht an stelle des bildes nur: bild kann nicht angezeigt werden.

und ohne das kommt man nicht weiter

@juic3
k. Danke, ich melde das Prob bei der Administration. Aber ich denke mal - deinen Rechner müsstest du mal neu aufspielen
EDIT:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

Bevor wir soweit sind - versuche jetzt die beiden zu fixen.