Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ebenfalls VIRUS ALERT

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.07.2008, 22:12   #1
Halli_G
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Hallo Zusammen.

habe ebenfalls das Problem mit dem VIRUS ALTER in der Taskleiste.
nur etwas anders als bis jetzt schon beschrieben, habe die anderen Beiträge schon gelesen.

Habe Malware-AntiMaleware nicht auf meinem Rechner. Leider lässt sich nichts installieren, d.h. beim Doppelklick passiert einfach nichts.
ComboFix funktioniert auch nicht.
Auf den Taskmanager kann ich wieder zugreifen.

Anbei Hijack.txt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11: VIRUS ALERT!, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\Hijack\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender professional edition\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [b8469b5f] rundll32.exe "C:\WINDOWS\system32\wadmpjpw.dll",b
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - h**p://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Remote Solver for COSMOSFloWorks 2007 - Unknown owner - C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6376 bytes


und SmitFraudFix.txt

SmitFraudFix v2.128

Scan done at 22:02:39,32, 03.07.2008
Run from C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csxji.exe"


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Hoffentlich könnte ihr mir helfen.

danke im voraus Halli.

Geändert von Sunny (08.07.2008 um 18:54 Uhr)

Alt 04.07.2008, 15:39   #2
-SilverDragon-
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Hallo und

Lasse bitte folgende Datei bei Virustotal überprüfen:
Code:
ATTFilter
C:\WINDOWS\system32\wadmpjpw.dll
         
Poste das Ergebnis komplett ins Forum.

Bitte editiere noch aktive Links und persönliche Informationen im Logfile!
__________________


Alt 07.07.2008, 17:11   #3
Halli_G
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Hallo Silver,

sorry anfängerfehler mit dem Logfiles.

Ich kann die Datei leider nicht auf das Portal laden, weil ich nicht auf virustotal komme. auf einem anderen Rechner geht das irgendwie auch nicht, weil er schreit, das ich keine berechtigung habe...mist verdammter.
__________________

Alt 08.07.2008, 10:13   #4
-SilverDragon-
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Tipp oben in die Adresszeile www.Virustotal.com ein oder klicke auf meinen Link und lade die Datei auf den Server hoch.
Wieso bist du nicht auf Virustotal gekommen??

Alt 08.07.2008, 12:00   #5
Halli_G
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Auf meinem Rechner, wo der Virus/-en daruf ist/ sind, läuft nur noch der Internetexplorer. Firefox lässt sich nicht starten. Im Internetexploren, kann ich keine Links starten, als muss ich alles in die adressleiste eintippen. Bei Virustotal sagt mein "toller" Explorer das die Seite nicht gefunden werden kann.
Ist es möglich die von einem anderen Rechner aus hochzuladen? Wahrscheinlich eher nicht.

CCleaner habe ich auch schon drüberlaufen lassen. Irgendwie lässt sich nichts machen, weil ich auch nichts installieren kann.


Alt 08.07.2008, 12:08   #6
myrtille
/// TB-Ausbilder
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Hi,

nur ein kleiner Hinweis:
Dein Smitfraudfixversion ist hoffnunglos veraltet. Aktuell ist 2.329, du hat 2.128.

Die Version ist ein Jahr halt und es ist ganz normal, dass sie nicht mit dem aktuellen Befall fertig wird.

lg myrtille
__________________
--> ebenfalls VIRUS ALERT

Alt 08.07.2008, 15:00   #7
Halli_G
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



ohh danke. das kann sein.
Dann werde ich mal die neue drüberlaufen lassen...hoffentlich ergibt sich was.

Alt 08.07.2008, 18:18   #8
Halli_G
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Ok. Leider kann auch die .exe nicht ausführen. Ich komme zwar bis zu dem "Unbekannter Herausgeber...[Ausführen][Abbrechen]"- Fenster, aber danach passiert nicht.
Habt ihr noch irgendwelche Ideen? Sonst muss ich meinen Rechner leider formatieren, wenn nichts hilft.

Alt 08.07.2008, 18:24   #9
myrtille
/// TB-Ausbilder
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Hi,

warst du im abgesicherten Modus? Wenn nicht, dann versuch das bitte mal.
Wir haben noch ein paar Möglichkeiten, die wir ausloten können, bevor du neuaufsetzt.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 08.07.2008, 18:33   #10
Halli_G
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Danke für den Hoffnungsschimmer.
Leider tut sich auch im abgesichtern Modus nichts.

Alt 08.07.2008, 18:42   #11
myrtille
/// TB-Ausbilder
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Lade dir bitte die angehängte Datei herunter.

Öffne sie dann mit Notepad, gehe auf "Speichern unter" wähle dort als Namen "Anti.bat", als Dateityp "Alle Dateien" und als Codierung "ANSI".

Führe die Datei Anti.bat anschließend per Doppelklick aus. Poste bitte den Inhalt des sich öffnenden Editorfensters.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 08.07.2008, 18:51   #12
Halli_G
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Hallo myrtille,

leider öffnete sich keine editor fenster und bei allen ausführungen, außer zweien, stand da: "Das angegebene Modul wurde nicht gefunden"

die zwei die er gefunden hat waren:

DllRegisterServer in olch2x8.ocx erfolgreich durchgeführt
DllRegisterServer in CCXPButton.ocx erfolgreich durchgeführt

Alt 08.07.2008, 19:12   #13
myrtille
/// TB-Ausbilder
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Ok, anderer Ansatz:

Welche Dateien/Programme kannst du noch ausführen?
Geht Bitdefender noch? Findet das Programm etwas?
Kannst du Malwarebytes herunterladen und ausführen?
Kannst du DSS herunterladen und ausführen?

Kannst du eventuell die genannten Dateien/Programme (und auch nochmal Smitfraudfix und Combofix) von einem anderen Rechner herunterladen und per USB-Stick auf den aktuellen Rechner übertragen?
(Wenn ja, benenn bitte alle Programme um. Zb in Programm1.exe, Programm2.exe, etc... )


Wenn nichts davon geht, wechsele bitte in den abgesicherten Modus und rufe HijackThis auf.
Fixe die folgenden Einträge:
Zitat:
O4 - HKLM\..\Run: [b8469b5f] rundll32.exe "C:\WINDOWS\system32\wadmpjpw.dll",b
R3 - Default URLSearchHook is missing
Lösche dann bitte folgende Dateien: Dateien sichtbar machen

Zitat:
C:\WINDOWS\system32\wadmpjpw.dll
csxji.exe <- sollte im Windows oder System32-Ordner zu finden sein.
Erstelle danach ein neus Hijackthislog und poste es hier.

Schau bitte außerdem nach ob die Datei reg.exe im Ordner C:\windows\system32 existiert und wie groß sie ist.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (08.07.2008 um 19:20 Uhr)

Alt 09.07.2008, 07:36   #14
Halli_G
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Super. Hat geklappt mit dem Umbennen. Konnte Smitfraudfix ausführen. Danach war das Virus Alert weg. Habe dann Anit-Malware installiert und durchlaufen lassen.

Anbei die Logfiles:

Anitmalware

PHP-Code:
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 899
Windows 5.1.2600 Service Pack 2

08:24:22 09.07.2008
mbam-log-7-9-2008 (08-24-22).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|G:\|H:\|J:\|)
Objekte gescannt: 319794
Scan Dauer: 1 hour(s), 49 minute(s), 39 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 22

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\bmxqsgei.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\opnmnNEW.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\khfGwuSi.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9a998ca7-6a9a-4257-afbe-59c1fa6b0a17} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{9a998ca7-6a9a-4257-afbe-59c1fa6b0a17} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{43fe53cd-0847-4965-ab7d-cc06a69d193e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfgwusi (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{08cb7581-45ce-46ec-8f63-a4a205b6c304} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{285e615e-7eb8-41a8-bea6-7914b92ff497} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gxvpsafm.bfpb (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gxvpsafm.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\b8469b5f (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnmnnew -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnmnnew  -> Delete on reboot.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\opnmnNEW.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\WENnmnpo.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WENnmnpo.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bmxqsgei.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\iegsqxmb.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\neignnyy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yynngien.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ovvgfymb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bmyfgvvo.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin Hagner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E1ZPFC3V\226[1].exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Martin Hagner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E1ZPFC3V\Install_226_-1_[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\pntqkflv.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cdosys.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\vmdesched.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\khfGwuSi.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\tovafrnm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\qegbdmwf.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\gxvpsafm.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Install.dat (Trojan.Agent) -> Quarantined and deleted successfully. 
SmitFraudFix:

PHP-Code:
SmitFraudFix v2.328

Scan done at 23
:44:36,5108.07.2008
Run from C
:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS
Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attentionfollowing keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler
's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri'
s WS2FixLSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S
!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C
:\WINDOWS\privacy_dangerDeleted
C
:\DOKUME~1\***~1\FAVORI~1\Error Cleaner.url Deleted
C
:\DOKUME~1\***~1\FAVORI~1\Privacy Protector.url Deleted
C
:\DOKUME~1\***~1\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits
Malware Analysis Diagnostic
Code
S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits
Malware Analysis Diagnostic
Code
S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description
NETGEAR 108 Mbps Wireless PCI Adapter WG311T Paketplaner-Miniport
DNS Server Search Order
195.50.140.178
DNS Server Search Order
195.50.140.114

HKLM
\SYSTEM\CCS\Services\Tcpip\..\{37EAF8BC-F2CC-4FB3-8218-F7066B251877}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM
\SYSTEM\CCS\Services\Tcpip\..\{8DA5E195-D270-4664-894C-2419EE21F66A}: DhcpNameServer=195.50.140.178 195.50.140.114
HKLM
\SYSTEM\CCS\Services\Tcpip\..\{B9361336-F34C-41B3-B0D8-85EF52AFB952}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM
\SYSTEM\CCS\Services\Tcpip\..\{F923A043-0DA3-423B-8FF1-1118FB35FD90}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM
\SYSTEM\CS1\Services\Tcpip\..\{37EAF8BC-F2CC-4FB3-8218-F7066B251877}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM
\SYSTEM\CS1\Services\Tcpip\..\{8DA5E195-D270-4664-894C-2419EE21F66A}: DhcpNameServer=195.50.140.178 195.50.140.114
HKLM
\SYSTEM\CS1\Services\Tcpip\..\{B9361336-F34C-41B3-B0D8-85EF52AFB952}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM
\SYSTEM\CS1\Services\Tcpip\..\{F923A043-0DA3-423B-8FF1-1118FB35FD90}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM
\SYSTEM\CS3\Services\Tcpip\..\{37EAF8BC-F2CC-4FB3-8218-F7066B251877}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM
\SYSTEM\CS3\Services\Tcpip\..\{8DA5E195-D270-4664-894C-2419EE21F66A}: DhcpNameServer=195.50.140.178 195.50.140.114
HKLM
\SYSTEM\CS3\Services\Tcpip\..\{B9361336-F34C-41B3-B0D8-85EF52AFB952}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM
\SYSTEM\CS3\Services\Tcpip\..\{F923A043-0DA3-423B-8FF1-1118FB35FD90}: DhcpNameServer=85.255.113.130,85.255.112.113
HKLM
\SYSTEM\CCS\Services\Tcpip\ParametersDhcpNameServer=195.50.140.178 195.50.140.114
HKLM
\SYSTEM\CS1\Services\Tcpip\ParametersDhcpNameServer=195.50.140.178 195.50.140.114
HKLM
\SYSTEM\CS3\Services\Tcpip\ParametersDhcpNameServer=195.50.140.178 195.50.140.114


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
.System
!!!Attentionfollowing keys are not inevitably infected!!!

[
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csxji.exe"


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done

 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attentionfollowing keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler
's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End 
Hijackthis:

PHP-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08
:35:14on 09.07.2008
Platform
Windows XP SP2 (WinNT 5.01.2600)
MSIEInternet Explorer v7.00 (7.00.6000.16674)
Boot modeNormal

Running processes
:
C:\WINDOWS\System32\smss.exe
C
:\WINDOWS\system32\winlogon.exe
C
:\WINDOWS\system32\services.exe
C
:\WINDOWS\system32\lsass.exe
C
:\WINDOWS\System32\Ati2evxx.exe
C
:\WINDOWS\system32\svchost.exe
C
:\WINDOWS\System32\svchost.exe
C
:\WINDOWS\system32\spoolsv.exe
C
:\WINDOWS\system32\acs.exe
C
:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C
:\WINDOWS\system32\Ati2evxx.exe
C
:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C
:\WINDOWS\Explorer.EXE
C
:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C
:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
C
:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C
:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C
:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C
:\Programme\FreePDF_XP\fpassist.exe
C
:\WINDOWS\System32\svchost.exe
C
:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C
:\WINDOWS\system32\ctfmon.exe
C
:\Programme\NETGEAR\WG311T\wlancfg5.exe
C
:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C
:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C
:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C
:\WINDOWS\system32\wscntfy.exe
C
:\Programme\Internet Explorer\iexplore.exe
C
:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\Hijack\HijackThis.exe

R3 
- Default URLSearchHook is missing
O3 
ToolbarEPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 
HKLM\..\Run: [BDMConc:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 
HKLM\..\Run: [BDNewsAgentc:\programme\softwin\bitdefender professional edition\bdnagent.exe
O4 
HKLM\..\Run: [BDSwitchAgentC:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 
HKLM\..\Run: [NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe
O4 
HKLM\..\Run: [SunJavaUpdateSched"C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 HKLM\..\Run: [FreePDF AssistantC:\Programme\FreePDF_XP\fpassist.exe
O4 
HKCU\..\Run: [H/PC Connection Agent"C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 HKCU\..\Run: [ctfmon.exeC:\WINDOWS\system32\ctfmon.exe
O4 
HKUS\S-1-5-19\..\Run: [CTFMON.EXEC:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 HKUS\S-1-5-20\..\Run: [CTFMON.EXEC:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 HKUS\S-1-5-18\..\Run: [CTFMON.EXEC:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 HKUS\.DEFAULT\..\Run: [CTFMON.EXEC:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global StartupNETGEAR WG311T Smart Wizard.lnk C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 
Extra context menu item: &ICQ Toolbar Search res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 Extra context menu itemNach Microsoft &Excel exportieren res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 Extra context menu itemNach Microsoft E&xel exportieren res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 Extra buttonMobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 
Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 
Extra 'Tools' menuitemMobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 
Extra buttonResearch - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 
Extra buttonICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 
Extra 'Tools' menuitemICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 
Extra buttonMessenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 
Extra 'Tools' menuitemWindows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 
DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 ServiceAtheros Configuration Service (ACS) - Unknown owner C:\WINDOWS\system32\acs.exe
O23 
ServiceAti HotKey Poller Unknown owner C:\WINDOWS\System32\Ati2evxx.exe
O23 
ServiceATI Smart Unknown owner C:\WINDOWS\system32\ati2sgag.exe
O23 
ServiceBackbone Service (BBDemon) - Dassault Systemes C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 
ServiceBitDefender Scan Server (bdss) - Unknown owner C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 
ServiceInstallDriver Table Manager (IDriverT) - Macrovision Corporation C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 
ServiceLightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 
ServiceMATLAB Server (matlabserver) - Unknown owner C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 
ServiceRemote Solver for COSMOSFloWorks 2007 Unknown owner C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
O23 
ServiceSolidWorks Licensing Service SolidWorks C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 
ServiceBitDefender Virus Shield (VSSERV) - Unknown owner C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 
ServiceBitDefender Communicator (XCOMM) - Softwin C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file 6165 bytes 
Super. Es geht vorwärts . Danke dir myrtille

Alt 09.07.2008, 08:21   #15
myrtille
/// TB-Ausbilder
 
ebenfalls VIRUS ALERT - Standard

ebenfalls VIRUS ALERT



Hi,

freut mich zu hören, dass es dem Rechner wieder besser geht.

Ich bräuchte noch ein Log von DSS. Bitte einfach runterladen, per doppelklick ausführen. Es sollten 2 Reports geöffnet werden, diese bitte hier posten.

Nimm statt der phpcode-tags bitte die reinen [code]-tags... php macht komische Sachen mit den Logs.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu ebenfalls VIRUS ALERT
alert, attention, defender, dll, einstellungen, excel, explorer, generic, hijackthis, hkus\s-1-5-18, infected, internet, internet explorer, netgear, object, problem, programme, registry, rundll, software, system, taskmanager, temp, urlsearchhook, virus, virus alert, virus alert!, windows, windows xp



Ähnliche Themen: ebenfalls VIRUS ALERT


  1. Ebenfalls GVU Virus im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 29.01.2013 (34)
  2. AKM Virus...mich hats ebenfalls erwischt...
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (16)
  3. Virus blockiert System -> "alert[1].htm" fake alert.AP -> 100 € Forderung
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (15)
  4. Ebenfalls 50€ Virus
    Plagegeister aller Art und deren Bekämpfung - 12.04.2012 (5)
  5. Ebenfalls den 50€ Virus eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (12)
  6. Ebenfalls 50 Euro Virus
    Log-Analyse und Auswertung - 31.01.2012 (7)
  7. Ebenfalls der 50€ Virus
    Plagegeister aller Art und deren Bekämpfung - 27.12.2011 (11)
  8. Ebenfalls der 50€ Virus
    Alles rund um Windows - 27.12.2011 (5)
  9. Ebenfalls BKA-Virus
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (21)
  10. Virus Alert!!!
    Plagegeister aller Art und deren Bekämpfung - 21.10.2008 (12)
  11. Virus Alert
    Log-Analyse und Auswertung - 12.09.2008 (1)
  12. Batch-Virus Probleme: VIRUS ALERT! Benötige Hilfe zur vollständigen Reinigung
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (15)
  13. Virus Alert
    Plagegeister aller Art und deren Bekämpfung - 31.07.2008 (1)
  14. Vista Anti Virus und Virus Alert neben der Uhr
    Plagegeister aller Art und deren Bekämpfung - 29.07.2008 (10)
  15. Virus alert!
    Plagegeister aller Art und deren Bekämpfung - 25.07.2008 (1)
  16. Virus Alert
    Mülltonne - 26.06.2008 (0)
  17. Virus-Alert, Virus getarnt als AntiVir-Programm
    Plagegeister aller Art und deren Bekämpfung - 28.05.2006 (1)

Zum Thema ebenfalls VIRUS ALERT - Hallo Zusammen. habe ebenfalls das Problem mit dem VIRUS ALTER in der Taskleiste. nur etwas anders als bis jetzt schon beschrieben, habe die anderen Beiträge schon gelesen. Habe Malware-AntiMaleware nicht - ebenfalls VIRUS ALERT...
Archiv
Du betrachtest: ebenfalls VIRUS ALERT auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.