Hallo blaueraffe,

««
wende CCleaner an
CCleaner

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat:

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\GRUBWI~1\AppData\Local\Temp\vtUmMcyx.dll,#1

«
OTMoveIt by OldTimer
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\system32\qoMdBRJA.dll
         

Klicke auf den Roten MoveIt!

««

wende bitte Combofix an ...Warnmeldung wegklicken + poste den report
combofix

Zitat:

Zitat von Sabina

wende bitte Combofix an ...Warnmeldung wegklicken + poste den report
combofix

Ich stimme dir bei allen sachen zu aber nicht bei ComboFix
ComboFix sollte man (noch) nicht auf Vista anwenden

so ? ich denke aber, dass es nicht an dem ist.
und mit combofix kann ich die Viren, die vielleicht noch drauf sind sehen.
(es gibt auch noch andere Möglichkeiten, aber bei Combofix sehe ich auch gleich die Registry-Einträge)

Das was nicht an wem ist?
Man sollte ComboFix nicht auf Vista verwenden!!!!!!

Das ist mir auch klar aber wenn man ComboFix nunmal nicht auf Vista verwenden darf, muss man eben auf andere Tools umsteigen

Ohne mich jetzt in eure Diskussion einmischen zu wollen:

@blaueraffe:
Könntest du wohl hier mal den Abschnitt "Suche" abarbeiten und das Log hier posten?

lg myritlle

beim Ersteller von Combofix - BleepingComputer.com - gibt es keinerlei Hinweise auf das "nichtanwenden" von Combofix auf Vista-Systemen.
Die von dir übermittelte Warnung ist vom 7.März.
An diesem Tag gab es eine Umstellung bei Combofix, wurde dann 2 Stunden später vom Server genommen und durch die ursprüngliche Version ersetzt.
Man sollte bei Warnungen auch immer das Datum mitbeachten.

Hallo myrtille

smitfraudfix ist bei dieser Art von Verseuchung nicht sehr effektiv (noch nicht)
einzig Malwarebytes (schon angewendet) und rvaxo erkennen das (teilweise)
RVAXO

und eben Combofix (oder comboscan) ... wenn man es zu interpretieren weiss.

Ich wollte dich nur auch darauf aufmerksam machen da ich von GCSunny den Tipp erhalten habe
War nur ein gutgemeinter Tipp....
Ich werde ComboFix auf Vista jedenfalls (noch) nicht empfehlen

@Sabina
Es geht nicht um eine Bereinigung, ich brauch zu Anschauungszwecken nur ein Log von Smitfraudfix für diese Variante

Die Bereinigung könnt ihr gern unter euch ausmachen.

Würde ich glauben, dass Smitfradufix die Variante entfernt, hätte ich direkt die Option "entfernen" empfohlen.

lg myrtille

EDIT:
RVAXO würde ich nicht empfehlen.
Das arbeitet mit einer sehr restriktiven Whitelist und entfernt dadurch auch "saubere" O21-Einträge. Außerdem leistet es bei den Registryschlüsseln nur sehr mäßige Arbeit.

Hab hier mal den Report von Smitfraudfix:

Code: Alles auswählenAufklappen

ATTFilter

SmitFraudFix v2.316

Scan done at 15:32:20,08, 22.04.2008
Run from C:\Users\***\Desktop\SmitfraudFix
OS: Microsoft Windows [Version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Thomson\ST330\service\st330service.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\hp\KBD\kbd.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
c:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Hewlett-Packard\HP Software Update\hpwuSchd2.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Program Files\Thomson\ST330\diagnostics\diagnostics.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Enigma Software Group\SpyHunter\SHService.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Windows\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\***


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\***\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\GRUBWI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000000


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE-Netzwerkverbindung
DNS Server Search Order: 10.0.0.138
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{19CDCF7E-639C-4E04-A445-A911144C66AB}: DhcpNameServer=10.0.0.138 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{19CDCF7E-639C-4E04-A445-A911144C66AB}: DhcpNameServer=10.0.0.138 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{19CDCF7E-639C-4E04-A445-A911144C66AB}: DhcpNameServer=10.0.0.138 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138 192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Mit der Filelist (schon angewendet-->erfolgreich) kann man Malware auch erkennen Wär ja schlimm wenn eine erfolgreiche Bereinigung eines infizierten Systems nicht ohne ComboFix gehen würde!!
Wichtig ist ja vorallem die files zu entdecken!! Die registry Einträge sind da nicht so dramatisch...die kann man auch ohne Combofix sehen

Hallo virus

sunny hat das Theater bei protecus.de mitbekommen, als am 7.März zwei Rechner nur mit viel Mühe wieder hergestellt werden konnten.
Wir haben darauf Alarm geschlagen und kurze Zeit darauf war die neue Version vom Server genommen und die alte, funktionierende wieder drauf.
Allerdings bin ich einverstanden, dass du Combofix besser nicht anwendest, denn bei BleepingComputer.com wird ausdrücklich darauf hingewiesen, dass nur erfahrene Helfer die Combofix zur Anwendung bringen sollen, also Leute, welche die Informationen auch interpretieren können + Scripts erstellen.
Auch nach Einführung der Whitelist sah man diesen Hinweis als notwendig an.

Zitat:

Zitat von Sabina

denn bei BleepingComputer.com wird ausdrücklich darauf hingewiesen, dass nur erfahrene Helfer die Combofix zur Anwendung bringen sollen, also Leute, welche die Informationen auch interpretieren können + Scripts erstellen.

Ich weiss nicht genau wie ich das interpretieren soll... Ich glaube ich weiss von was ich spreche und wenn du irgendein Problem hast (mit mir oder mit dir selber) behalte es bitte für dich, danke
Bis jetzt bin ich eigentlich immer ohne deine Hilfe zurechtgekommen
Ich frage mich wie du auf die Idee gekommen bist mir soetwas vorzuwerfen Bist du so verzweifelt?
Eigentlich möchte ich das Thema auch nicht weiter besprechen und lieber dem User helfen.

@blaueraffe:
Danke

lg myrtille