Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Unbekannter Virus

Unbekannter Virus


Plagegeister aller Art und deren Bekämpfung: Unbekannter Virus

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 2 1 2
Alt 05.06.2008, 22:08   #16
Mellosun
 
Unbekannter Virus - Standard

Unbekannter Virus


Wo ist die Antwort von Kaspersky zur eingeschickten Datei? Die Analyse sollte schon längst geschehen sein!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Alt 06.06.2008, 16:35   #17
Ben11One
 
Unbekannter Virus - Standard

Unbekannter Virus


so alles getan wie gesagt, bevor combofix allerdings nach dem neustart noch nicht ganz fertig war hatte ich noch ein (ich denke) "fake" hinweis:

Warning! Potential Spyware operation!
Your Computer is making unauthorized copies of your system and Internet files.
Run full scan now to prevent any unauthorized accses to your files!
Click here to download spyware remover!
Ja Nein



ich gehe mal davon aus das diese warnung eher von einem virus ausgeht als vom eigenen system?!?!?!! oder?

habe leider keine informationen zu der per e-mail geschickten datei bekommen!

so und hier ist der Log:

Code:
ATTFilter
ComboFix 08-06-05.3 - **** 2008-06-06 16:57:39.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.127 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM570e9568.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bmrqfgdr.ini
C:\WINDOWS\system32\ddcBTNEU.dll
C:\WINDOWS\system32\dfrmchsr.ini
C:\WINDOWS\system32\dggykpns.ini
C:\WINDOWS\system32\EgQBHkkj.ini
C:\WINDOWS\system32\EgQBHkkj.ini2
C:\WINDOWS\system32\ENVDLkkj.ini
C:\WINDOWS\system32\ENVDLkkj.ini2
C:\WINDOWS\system32\fwmhkiid.dll
C:\WINDOWS\system32\hpcixmil.dll
C:\WINDOWS\system32\hqtmwdtx.ini
C:\WINDOWS\system32\jkkHBQgE.dll
C:\WINDOWS\system32\jkkLDVNE.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nnnoPJDS.dll
C:\WINDOWS\system32\opnnlMCt.dll
C:\WINDOWS\system32\psrnlons.dll
C:\WINDOWS\system32\qYxFOqru.ini
C:\WINDOWS\system32\qYxFOqru.ini2
C:\WINDOWS\system32\SDJPonnn.ini
C:\WINDOWS\system32\SDJPonnn.ini2
C:\WINDOWS\system32\syntwidj.dll
C:\WINDOWS\system32\tCMlnnpo.ini
C:\WINDOWS\system32\tCMlnnpo.ini2
C:\WINDOWS\system32\UENTBcdd.ini
C:\WINDOWS\system32\UENTBcdd.ini2
C:\WINDOWS\system32\urqOFxYq.dll
C:\WINDOWS\system32\xdayxqyv.dll
C:\WINDOWS\system32\yayxyxWq.dll
C:\WINDOWS\system32\ywgoiafh.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-06 bis 2008-06-06  ))))))))))))))))))))))))))))))
.

2008-06-06 11:46 . 2008-06-06 11:46	<DIR>	d--------	C:\Programme\CCleaner
2008-06-06 11:26 . 2008-06-06 11:26	134,656	--a------	C:\WINDOWS\system32\kcwkhstu.dll
2008-06-06 11:24 . 2008-06-06 11:24	124,928	--a------	C:\WINDOWS\system32\cguxkywv.dll
2008-06-06 11:20 . 2008-06-06 11:20	19,456	--a------	C:\WINDOWS\system32\drvwuj.dll
2008-06-05 22:13 . 2008-06-05 22:13	117,248	--a------	C:\WINDOWS\system32\xtdwmtqh.dll
2008-06-05 22:10 . 2008-06-05 22:10	133,120	--a------	C:\WINDOWS\system32\cqfijwnc.dll
2008-06-05 22:09 . 2008-06-05 22:09	126,976	--a------	C:\WINDOWS\system32\unoeryvv.dll
2008-06-03 13:55 . 2008-06-03 13:55	19,456	--a------	C:\WINDOWS\system32\drvxup.dll
2008-05-31 14:03 . 2008-05-31 14:03	<DIR>	d--------	C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-31 14:01	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-05-31 14:00 . 2008-05-31 14:00	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-30 01:06	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-31 14:00 . 2008-05-30 01:06	15,864	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-05-31 10:45 . 2008-05-31 10:45	114,688	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mxgxkjkd.dll
2008-05-31 10:44 . 2008-05-31 10:44	114,688	--a------	C:\WINDOWS\system32\vsykqkkw.dll
2008-05-31 10:41 . 2008-05-31 10:41	31,744	--a------	C:\WINDOWS\system32\winlzi32.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 20:22	---------	d-----w	C:\Programme\ICQToolbar
2008-05-24 06:54	---------	d-----w	C:\Programme\StarMoney 6.0 S-Edition
2008-04-15 11:01	---------	d-----w	C:\Programme\AbiSuite2
2008-04-13 17:17	---------	d-----w	C:\Programme\ICQ6
2008-04-13 16:52	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\InstallShield
2008-04-13 16:50	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\ICQ
2008-04-13 16:49	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-03-25 04:51	621,344	----a-w	C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51	187,168	----a-w	C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03	1,845,376	----a-w	C:\WINDOWS\system32\win32k.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06DA34C6-0A95-47DA-0225-027F739EF693}]
2008-05-31 10:44	114688	--a------	C:\WINDOWS\system32\vsykqkkw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30fb29fd-c736-4d82-a188-b7a6d6576724}]
2008-06-06 11:26	134656	--a------	C:\WINDOWS\system32\kcwkhstu.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2004-05-20 19:23 90224]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"MSDisp32"="C:\WINDOWS\system32\drvwuj.dll" [2008-06-06 11:20 19456]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19 1053264]
"BM570e9568"="C:\WINDOWS\system32\cguxkywv.dll" [2008-06-06 11:24 124928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"sfkyLjmqp1"= C:\WINDOWS\system32\winver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlzi32]
winlzi32.dll 2008-05-31 10:41 31744 C:\WINDOWS\system32\winlzi32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\543da6f4]
--a------ 2008-06-05 22:13 117248 C:\WINDOWS\system32\xtdwmtqh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM570e9568]
--a------ 2008-06-05 22:09 126976 C:\WINDOWS\system32\unoeryvv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSDisp32]
--a------ 2008-06-03 13:55 19456 C:\WINDOWS\system32\drvxup.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMhelpr.sys [1997-06-17 05:00]
R3 cwbmidi_device;Crystal WDM MPU-401 UART-Treiber;C:\WINDOWS\system32\drivers\cwbmidi.sys [2001-08-17 13:19]
R3 cwbwdm_device;Crystal WDM-Audiocodectreiber;C:\WINDOWS\system32\drivers\cwbwdm.sys [2001-08-17 13:19]
R3 SCR3XX2K;SCR3xx USB SmartCardReader;C:\WINDOWS\system32\DRIVERS\SCR3XX2K.sys [2007-04-25 05:39]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-30 01:06]
S3 STCFUx32;STC DFU Driver;C:\WINDOWS\system32\DRIVERS\STCFUx32.SYS [2007-01-24 03:01]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-08-17 14:43]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 17:13:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\winlzi32.dll
-> C:\WINDOWS\system32\NavLogon.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\cguxkywv.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\scardsvr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 17:21:09 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-06 15:20:10

              11 Verzeichnis(se),  1,603,063,808 Bytes frei
              14 Verzeichnis(se),  1,679,368,192 Bytes frei

169	--- E O F ---	2008-05-28 19:10:05

und nocheinmal ein HijackThis logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:30, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {06DA34C6-0A95-47DA-0225-027F739EF693} - C:\WINDOWS\system32\vsykqkkw.dll
O2 - BHO: {4276756d-6a7b-881a-28d4-637cdf92bf03} - {30fb29fd-c736-4d82-a188-b7a6d6576724} - C:\WINDOWS\system32\kcwkhstu.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvwuj.dll,startup
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [BM570e9568] Rundll32.exe "C:\WINDOWS\system32\cguxkywv.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [sfkyLjmqp1] C:\WINDOWS\system32\winver.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184005363970
O20 - Winlogon Notify: winlzi32 - C:\WINDOWS\SYSTEM32\winlzi32.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 4468 bytes
und jetzt? kann die datein grade nicht checken da sich die seiten nicht öffnen lassen... versuche später nochmal die aufälliegen datein zu checken!
Wobei ziehmlich sicher etwas mit diesen datein nicht in ordnung ist!
__________________

Geändert von Ben11One (06.06.2008 um 16:52 Uhr)

Alt 06.06.2008, 17:00   #18
BataAlexander
> MalwareDB
 
Unbekannter Virus - Standard

Unbekannter Virus


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
http://www.trojaner-board.de/53264-unbekannter-virus.html

Killall::

Collect::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mxgxkjkd.dll
C:\WINDOWS\system32\vsykqkkw.dll
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\system32\kcwkhstu.dll
C:\WINDOWS\system32\xtdwmtqh.dll
C:\WINDOWS\system32\drvxup.dll
C:\WINDOWS\system32\winlzi32.dll
C:\WINDOWS\system32\unoeryvv.dll
C:\WINDOWS\system32\kcwkhstu.dll
C:\WINDOWS\system32\drvwuj.dll
C:\WINDOWS\system32\xtdwmtqh.dll
C:\WINDOWS\system32\cqfijwnc.dll


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06DA34C6-0A95-47DA-0225-027F739EF693}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30fb29fd-c736-4d82-a188-b7a6d6576724}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BM570e9568"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"sfkyLjmqp1"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlzi32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\543da6f4]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM570e9568]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSDisp32]
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser.
Auf Deinem Desktop ist eine neue .Zip Datei vorhanden ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip). Diese mit Klick auf "Durchsuchen" auswählen und dann "Send" klicken. So kann der Author die Erkennungsroutine des Programms verbessern.
__________________
__________________
Geändert von BataAlexander (06.06.2008 um 17:40 Uhr)

Alt 06.06.2008, 17:59   #19
Ben11One
 
Unbekannter Virus - Standard

Unbekannter Virus


so hier der combofix log:
Code:
ATTFilter
ComboFix 08-06-05.3 - **** 2008-06-06 18:30:58.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.157 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Ilka\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mxgxkjkd.dll
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cqfijwnc.dll
C:\WINDOWS\system32\drvwuj.dll
C:\WINDOWS\system32\drvxup.dll
C:\WINDOWS\system32\kcwkhstu.dll
C:\WINDOWS\system32\unoeryvv.dll
C:\WINDOWS\system32\vsykqkkw.dll
C:\WINDOWS\system32\winlzi32.dll
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\system32\xtdwmtqh.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-06 bis 2008-06-06  ))))))))))))))))))))))))))))))
.

2008-06-06 17:20 . 2008-06-06 17:20	0	--a------	C:\WINDOWS\BM570e9568.xml
2008-06-06 11:46 . 2008-06-06 11:46	<DIR>	d--------	C:\Programme\CCleaner
2008-06-06 11:24 . 2008-06-06 11:24	124,928	--a------	C:\WINDOWS\system32\cguxkywv.dll
2008-05-31 14:03 . 2008-05-31 14:03	<DIR>	d--------	C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-31 14:01	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-05-31 14:00 . 2008-05-31 14:00	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-30 01:06	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-31 14:00 . 2008-05-30 01:06	15,864	--a------	C:\WINDOWS\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 20:22	---------	d-----w	C:\Programme\ICQToolbar
2008-05-24 06:54	---------	d-----w	C:\Programme\StarMoney 6.0 S-Edition
2008-04-15 11:01	---------	d-----w	C:\Programme\AbiSuite2
2008-04-13 17:17	---------	d-----w	C:\Programme\ICQ6
2008-04-13 16:52	---------	d-----w	C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\InstallShield
2008-04-13 16:50	---------	d-----w	C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\ICQ
2008-04-13 16:49	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-03-25 04:51	621,344	----a-w	C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51	187,168	----a-w	C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03	1,845,376	----a-w	C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((((   snapshot@2008-06-06_17.18.43.12   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-06 15:10:54	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
+ 2008-06-06 16:35:26	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06DA34C6-0A95-47DA-0225-027F739EF693}]
			C:\WINDOWS\system32\vsykqkkw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30fb29fd-c736-4d82-a188-b7a6d6576724}]
			C:\WINDOWS\system32\kcwkhstu.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2004-05-20 19:23 90224]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"MSDisp32"="C:\WINDOWS\system32\drvwuj.dll" [ ]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19 1053264]
"combofix"="C:\WINDOWS\system32\CF22247.exe" [2004-08-04 00:57 401408]
"BM570e9568"="C:\WINDOWS\system32\cguxkywv.dll" [2008-06-06 11:24 124928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"sfkyLjmqp1"= C:\WINDOWS\system32\winver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlzi32]
winlzi32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\543da6f4]
C:\WINDOWS\system32\xtdwmtqh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM570e9568]
C:\WINDOWS\system32\unoeryvv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSDisp32]
C:\WINDOWS\system32\drvxup.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMhelpr.sys [1997-06-17 05:00]
R3 cwbmidi_device;Crystal WDM MPU-401 UART-Treiber;C:\WINDOWS\system32\drivers\cwbmidi.sys [2001-08-17 13:19]
R3 cwbwdm_device;Crystal WDM-Audiocodectreiber;C:\WINDOWS\system32\drivers\cwbwdm.sys [2001-08-17 13:19]
R3 SCR3XX2K;SCR3xx USB SmartCardReader;C:\WINDOWS\system32\DRIVERS\SCR3XX2K.sys [2007-04-25 05:39]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-30 01:06]
S3 STCFUx32;STC DFU Driver;C:\WINDOWS\system32\DRIVERS\STCFUx32.SYS [2007-01-24 03:01]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-08-17 14:43]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 18:39:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\winver.exe 5632 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\NavLogon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\scardsvr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 18:44:32 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-06 16:44:09
ComboFix2.txt  2008-06-06 15:21:13

              11 Verzeichnis(se),  1,668,562,944 Bytes frei
              14 Verzeichnis(se),  1,658,150,912 Bytes frei

144	--- E O F ---	2008-05-28 19:10:05
und nocheinmal hijackthis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:26, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvwuj.dll,startup
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184005363970
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 3953 bytes
so und was passiert nun mit dieser datei?
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvwuj.dll,startup
oder ist die korrekt?

Alt 06.06.2008, 18:23   #20
BataAlexander
> MalwareDB
 
Unbekannter Virus - Standard

Unbekannter Virus


Reboote bitte den Rechner noch einmal! Combofix sollte erneut starten.

__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 06.06.2008, 18:36   #21
Ben11One
 
Unbekannter Virus - Standard

Unbekannter Virus


fehlanzeigte combofix startet nicht erneut!

Die einziege meldung die erscheint ist:
Fehler beim starten von C:\WINDOWS\system32\drvwuj.dll
das angegebene modul kann nicht starten.

aber wenn ich die jetzt einfach aus dem systemstart nehme ist sie ja rein theoretisch nicht gelöscht? oder??


edit:
habe die datei bei Jotti einmal gecheckt:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
ist das ein gutes zeichen?
Geändert von Ben11One (06.06.2008 um 18:43 Uhr)

Alt 06.06.2008, 18:46   #22
BataAlexander
> MalwareDB
 
Unbekannter Virus - Standard

Unbekannter Virus


Ok, bitte noch mal mit Combofix
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
KILLALL::

RootKit::
C:\WINDOWS\system32\winlzi32.dll
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\system32\drvwuj.dll
C:\WINDOWS\system32\drvxup.dll
C:\WINDOWS\system32\unoeryvv.dll
C:\WINDOWS\system32\xtdwmtqh.dll
C:\WINDOWS\system32\cguxkywv.dll
C:\WINDOWS\system32\vsykqkkw.dll
C:\WINDOWS\system32\kcwkhstu.dll
C:\WINDOWS\BM570e9568.xml

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06DA34C6-0A95-47DA-0225-027F739EF693}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30fb29fd-c736-4d82-a188-b7a6d6576724}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSDisp32"=-
"combofix"=-
"BM570e9568"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"sfkyLjmqp1"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlzi32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\543da6f4]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM570e9568]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSDisp32]
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.




6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 06.06.2008, 19:26   #23
Ben11One
 
Unbekannter Virus - Standard

Unbekannter Virus


Code:
ATTFilter
ComboFix 08-06-05.3 - **** 2008-06-06 19:55:43.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.115 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\****\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM570e9568.xml
C:\WINDOWS\system32\cguxkywv.dll
C:\WINDOWS\system32\drvwuj.dll
C:\WINDOWS\system32\drvxup.dll
C:\WINDOWS\system32\kcwkhstu.dll
C:\WINDOWS\system32\unoeryvv.dll
C:\WINDOWS\system32\vsykqkkw.dll
C:\WINDOWS\system32\winlzi32.dll
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\system32\xtdwmtqh.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-06 bis 2008-06-06  ))))))))))))))))))))))))))))))
.

2008-06-06 11:46 . 2008-06-06 11:46	<DIR>	d--------	C:\Programme\CCleaner
2008-05-31 14:03 . 2008-05-31 14:03	<DIR>	d--------	C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-31 14:01	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-05-31 14:00 . 2008-05-31 14:00	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-30 01:06	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-31 14:00 . 2008-05-30 01:06	15,864	--a------	C:\WINDOWS\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 20:22	---------	d-----w	C:\Programme\ICQToolbar
2008-05-24 06:54	---------	d-----w	C:\Programme\StarMoney 6.0 S-Edition
2008-04-15 11:01	---------	d-----w	C:\Programme\AbiSuite2
2008-04-13 17:17	---------	d-----w	C:\Programme\ICQ6
2008-04-13 16:52	---------	d-----w	C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\InstallShield
2008-04-13 16:50	---------	d-----w	C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\ICQ
2008-04-13 16:49	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-03-25 04:51	621,344	----a-w	C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51	187,168	----a-w	C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03	1,845,376	----a-w	C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((((   snapshot@2008-06-06_17.18.43.12   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-06 15:10:54	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
+ 2008-06-06 18:01:27	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2004-05-20 19:23 90224]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19 1053264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [ ]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray]
--a------ 2007-06-12 13:19 1053264 C:\Programme\Spyware Doctor\SDTrayApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=

R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMhelpr.sys [1997-06-17 05:00]
R3 cwbmidi_device;Crystal WDM MPU-401 UART-Treiber;C:\WINDOWS\system32\drivers\cwbmidi.sys [2001-08-17 13:19]
R3 cwbwdm_device;Crystal WDM-Audiocodectreiber;C:\WINDOWS\system32\drivers\cwbwdm.sys [2001-08-17 13:19]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-30 01:06]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 20:03:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\NavLogon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\scardsvr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 20:13:36 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-06 18:12:59
ComboFix2.txt  2008-06-06 16:44:34
ComboFix3.txt  2008-06-06 15:21:13

              11 Verzeichnis(se),  1,635,397,632 Bytes frei
              13 Verzeichnis(se),  1,626,693,632 Bytes frei

122	--- E O F ---	2008-05-28 19:10:05
und für die aller letzte sicherheit npocheinmal ein HijackThis log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:00, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184005363970
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 3598 bytes

und falls jetzt alles tipp top ist...
ein großes lob das mir dieses Forum mal wieder so viel geholfen hat!!!!
eindeutig das beste das ich kenne!!!
Danke und ein großes lob an Mellosun und für das schnelle weiter helfen auch BataAlexander!!! Danke Danke Danke!

nur eine frage hab ich jetzt noch:
auf dem rechner wird online banking betrieben sollten die passwörter
(und andere die im internet benutz werden) geändert werden oder besteht da in der regel keine gefahr von Missbrauch???

Alt 06.06.2008, 19:31   #24
BataAlexander
> MalwareDB
 
Unbekannter Virus - Standard

Unbekannter Virus


Zitat:
auf dem rechner wird online banking betrieben sollten die passwörter
(und andere die im internet benutz werden) geändert werden oder besteht da in der regel keine gefahr von Missbrauch???
Ich würde raten genau dies zu tun, alle Passwörter ändern und die Kontobewegungen prüfen, wenn etwas Auffällig ist ggf. Tanlisten sperren lassen und neue anfordern.

beide Logs sehen gut aus, bedanken musst Du Dich bei sUbs der Combofix ständig weiter entwickelt.

Eins für Dich noch:

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.



Und Spyware Doctor ist nicht das beste Programm...

Ansonsten viel Spaß im Netz, bis bald
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 06.06.2008, 21:11   #25
Mellosun
 
Unbekannter Virus - Standard

Unbekannter Virus


Danke BetaAlexander für die Übernahme...das mit dem Scripten mit Combofix hab ich noch net ganz so raus!

Gruß Mello

Alt 06.06.2008, 21:14   #26
BataAlexander
> MalwareDB
 
Unbekannter Virus - Standard

Unbekannter Virus


Zitat:
Zitat von Mellosun Beitrag anzeigen
Danke BetaAlexander
Ich bin nicht mehr Beta
Ansonsten aber null Problemo.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Antwort
Seite 2 von 2 1 2

Themen zu Unbekannter Virus
beenden, computer, detected, detected spyware infection!, direkt, entfernen, firefox, freundin, infected, klicke, komplett, langsam, logfile, mehrere, namen, problem, scan, seite, seiten, spyware, uhrzeit, unbekannter, unbekannter virus, verschiedene, virus, virus entfernen, windows, windows has detected spyware infection!, zeichen


« Worm.VBS.Autorun.g entfernen? | Mögliche Infektion / Viele Verbindungen »


Ähnliche Themen: Unbekannter Virus


  1. unbekannter Virus
    Log-Analyse und Auswertung - 28.07.2015 (12)
  2. Unbekannter Virus im Browser
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (18)
  3. unbekannter Virus!
    Log-Analyse und Auswertung - 26.07.2011 (12)
  4. C:\WINDOWS\system32\IE.exe möglicherweise unbekannter Virus NewHeur_PE Virus
    Plagegeister aller Art und deren Bekämpfung - 10.12.2010 (19)
  5. Unbekannter Virus/Malware
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  6. Mir Unbekannter Virus !
    Plagegeister aller Art und deren Bekämpfung - 13.06.2010 (0)
  7. Unbekannter Virus!?
    Plagegeister aller Art und deren Bekämpfung - 05.10.2009 (14)
  8. Unbekannter Virus- kzlxvvuquvewjaszq.dll ?
    Log-Analyse und Auswertung - 16.07.2009 (5)
  9. Unbekannter Virus
    Plagegeister aller Art und deren Bekämpfung - 26.05.2009 (0)
  10. Unbekannter Virus
    Log-Analyse und Auswertung - 11.05.2009 (36)
  11. Csrss.exe Reg.exe Unbekannter Virus
    Plagegeister aller Art und deren Bekämpfung - 30.04.2009 (4)
  12. Unbekannter Virus
    Plagegeister aller Art und deren Bekämpfung - 20.07.2008 (1)
  13. Unbekannter Virus, syskontroller?!?
    Log-Analyse und Auswertung - 12.05.2008 (1)
  14. unbekannter Mail Virus..
    Plagegeister aller Art und deren Bekämpfung - 15.10.2006 (2)
  15. Unbekannter Virus
    Plagegeister aller Art und deren Bekämpfung - 05.10.2006 (1)
  16. Hijack-log + unbekannter Virus???
    Log-Analyse und Auswertung - 14.01.2005 (13)
  17. Unbekannter Virus
    Plagegeister aller Art und deren Bekämpfung - 28.12.2004 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Unbekannter Virus - Wo ist die Antwort von Kaspersky zur eingeschickten Datei? Die Analyse sollte schon längst geschehen sein! ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix Lade dir das Tool hier - Unbekannter Virus...
Archiv
Du betrachtest: Unbekannter Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54