Faszinierend. Da ist allerdings wahrscheinlich mehr als nur der Virus Alert auf dem Rechner. Ein Neuaufsetzen wäre mit Sicherheit der sauberste und schnellste Abschluss.

Kannst du hijackthis.exe in abc.com umbenennen und ausführen?

Du kommst aber noch in den abgesicherten Modus? Welche Meldung kommt denn wenn du eine Datei ausführen willst?

Erstell bitte einen Scan mit filelist.bat:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

Ein erster Sieg Hijack hat funktioniert:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32: VIRUS ALERT!, on 30.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2579D159-8D4E-44E9-AAAC-4236F055DF5B} - C:\WINDOWS\system32\wvUoOHbC.dll
O2 - BHO: Alcohol Toolbar Helper - {52D06F97-5511-43FA-8FDA-C481864FD26E} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QXK Olive - {AEFFF7D6-917C-4D8D-A780-7C2D69F1B01A} - C:\WINDOWS\nfavxwdbsxb.dll
O3 - Toolbar: Alcohol Toolbar - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: fdkowvbp - {BF53502D-3BEF-4273-9925-89D7526A5F87} - C:\WINDOWS\fdkowvbp.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [AS01_Netgear] C:\Programme\NETGEAR\WG311 Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~2\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Keyboard/mouse] "C:\Programme\Keyboard\Office-Web Center\Panel.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "e:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor.lnk = C:\Programme\ArcSoft\Media Card Companion\MCC Monitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A534FBEE-D3E3-495D-B6D8-05EED08200D7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3387D63-F013-4D6C-A3DC-2356D6CACA60}: NameServer = 192.168.1.99
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: wvUoOHbC - C:\WINDOWS\SYSTEM32\wvUoOHbC.dll
O21 - SSODL: eqvwamkl - {32562C38-3E0C-4A22-A09A-541AE257DF75} - C:\WINDOWS\eqvwamkl.dll
O21 - SSODL: wnslvxtf - {FD75BDE5-992B-47DF-86BA-8FFC24E833AA} - C:\WINDOWS\wnslvxtf.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda software\panda internet security 2007\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe

--
End of file - 11028 bytes
         

Hier ist schonmal der andere Scan http://www.file-upload.net/download-...sting.txt.html

Vielen Dank schonmal für deine Hilfe bis hierher myrtille

mfg croe

Hi,
was genau verhindert, dass du die Datei doppelklicken kannst? Wieso kannst du Dateien nicht ausführen?

Darauf brauch ich eine Antwort um zu wissen wie wir weitervorgehen.

Kannst du gar keine exe-Dateien mehr ausführen oder nur bestimmte Dateien nicht?

lg myrtille

Hijack kann ich jetzt ausführen und von den .exen die du mir am Anfang gesagt hattest, konnte ich die ersten beiden nicht starten.. Ich hab sie mit Doppelklick & mit markieren und Enter versucht zu starten aber es ging einfach nicht.
Das war im abgesicherten Modus.

ALso gehen nur bestimmte Dateien nicht.

Kam evtl. die Meldung, das es keine gültige Win32-Anwendung sei?

Hi,

kannst du die Datei eventuell mit Rechtsklick und dann als "ausführen als" anwählen starten. (Versuche da eventuell auch unterschiedliche Benutzerkonten).

Alternativ kopiere zb Smitfraudfix.exe auf deinen Desktop und gibt dann unter Start->Ausführen folgendes ein: "%userprofile%\Desktop\Smitfraudfix.exe". Kannst du die Datei damit ausführen?

Was genau passiert bei einem Doppelklick? Einfach nichts oder kommt eine Meldung? Hast du das Problem nur im abgesicherten Modus? Hast du die Dateien mal in abc.exe umbenannt und ausgeführt? Geht sie dann?

Wenn das nicht geht, versuchen wir eine manuelle Bereinigung im abgesicherten Modus.

lg myrtille

Es sieht alles wieder normal aus, ich kann auf alle Festplatten zugreifen & der Virus Alert ist nicht mehr in der Taskleiste.

Hier sind die Logs:
SmitfraudFix:

Code: Alles auswählenAufklappen

ATTFilter

SmitFraudFix v2.332

Scan done at  9:51:11,48, 31.07.2008
Run from C:\Dokumente und Einstellungen\Damned\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\nfavxwdbsxb.dll deleted.
C:\WINDOWS\fdkowvbp.dll deleted.
C:\WINDOWS\eqvwamkl.dll deleted.
C:\WINDOWS\wnslvxtf.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\Damned\Desktop\Error Cleaner.url Deleted
C:\DOKUME~1\Damned\Desktop\Privacy Protector.url Deleted
C:\DOKUME~1\Damned\Desktop\Spyware?Malware Protection.url Deleted
C:\DOKUME~1\Damned\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\Damned\FAVORI~1\Privacy Protector.url Deleted
C:\DOKUME~1\Damned\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A534FBEE-D3E3-495D-B6D8-05EED08200D7}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E3387D63-F013-4D6C-A3DC-2356D6CACA60}: NameServer=192.168.1.99
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A534FBEE-D3E3-495D-B6D8-05EED08200D7}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E3387D63-F013-4D6C-A3DC-2356D6CACA60}: NameServer=192.168.1.99
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A534FBEE-D3E3-495D-B6D8-05EED08200D7}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E3387D63-F013-4D6C-A3DC-2356D6CACA60}: NameServer=192.168.1.99
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A534FBEE-D3E3-495D-B6D8-05EED08200D7}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E3387D63-F013-4D6C-A3DC-2356D6CACA60}: NameServer=192.168.1.99


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Malware Bytes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 985
Windows 5.1.2600 Service Pack 2

11:44:30 31.07.2008
mbam-log-7-31-2008 (11-44-26).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 282871
Laufzeit: 1 hour(s), 9 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 28

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\wvUoOHbC.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2579d159-8d4e-44e9-aaac-4236f055df5b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2579d159-8d4e-44e9-aaac-4236f055df5b} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvuoohbc (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\fdkowvbp.bgow (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\fdkowvbp.toolbar.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Rogue.VistaAntivirus2008) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Rogue.VistaAntivirus2008) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{2579d159-8d4e-44e9-aaac-4236f055df5b} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\eqvwamkl (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\wnslvxtf (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> No action taken.
C:\Programme\VAV (Rogue.VistaAntivirus2008) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\wvUoOHbC.dll (Trojan.BHO) -> No action taken.
C:\Programme\PCHealthCenter\4.exe (Trojan.Agent) -> No action taken.
C:\Programme\PCHealthCenter\5.exe (Rogue.Installer) -> No action taken.
C:\System Volume Information\_restore{E6F8F12A-66C5-45E7-8E89-8ECF9AB1469A}\RP633\A0126018.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\eovp.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Sys24C.exe (Trojan.Agent) -> No action taken.
C:\Programme\PCHealthCenter\0.exe (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\1.exe (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\3.exe (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\7.exe (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sex1.ico (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sex2.ico (Trojan.Fakealert) -> No action taken.
C:\Programme\VAV\vav.cpl (Rogue.VistaAntivirus2008) -> No action taken.
C:\Programme\VAV\vav.exe (Rogue.VistaAntivirus2008) -> No action taken.
C:\Programme\VAV\vav0.dat (Rogue.VistaAntivirus2008) -> No action taken.
C:\Programme\VAV\vav1.dat (Rogue.VistaAntivirus2008) -> No action taken.
C:\WINDOWS\system32\sex1.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\sex2.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\vav.cpl (Rogue.VistaAntivirus2008) -> No action taken.
C:\WINDOWS\system32\clbdll.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hgGxXrsP.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\grswptdl.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Damned\Anwendungsdaten\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> No action taken.
         

Hier habe ich alle entfernt und dann kam eine Meldung das einige zum löschen nach dem Neustart oder so verschoben worden sind & der PC hat sich neugestartet.

Weitere Logs folgen

Hi,

Zitat:

Mit welcher filelist soll ich denn ein Log erstellen?

diese filelist meinte ich:

Zitat:

Zitat von myrtille

Erstell bitte einen Scan mit filelist.bat:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Zitat:

Diese Umleitungen habe ich beim IE da ich Firefox ja nicht geöffnet bekomme ums da nachzuprüfen..

Wirst du immer umgeleitet, wenn du bestimmte Seiten aufrufst? Oder nur wenn du Googleergebnisse anklickst? Kannst du bei Direktlinks die Sachen runterladen? (Geht zb der Download von MBR Detector?)

Kannst du zb diese Datei herunterladen: javasetup

Zitat:

Die Sachen die Panda gefunden hat:
Tracking Programm erkannt: Application/Processor
Virus erkannt: Trj/rebooter.J

Das ist ein Teil von Smitfraudfix, das fälschlicherweise als schädlich erkannt wurde.

lg myrtille

Filelistlog habe ich nun erstellt und bei googleergebnissen werde ich umgeleitet und direkt Downloads funktionieren nicht, ich werde da immer darauf hingewiesen das die Website nicht geöffnet werden kann. Wenn ich aber bei youtube z.b. ein Video ankliucke komme ich zu dem Video und werde nicht umgeleitet.

mbr Log:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Hi,

ich muss mich mal umschauen was das für ein Problem sein könnte. Ich meld mich heute abend nochmal.

lg myrtille

Ok, zur Not muss ich halt neu aufsetzen, aber meine Fotos & die Facharbeit könnten ja nun gerettet werden, müsste ich nur ne mobile Festplatte kaufen Aber nochmals vielen Dank für deine Mühe und deinen Einsatz bis hierher

Hi,

nur eine Frage zwischendurch (@myrtille: please do not kill me ;o)

Hast Du bei Firefox eine Optimierung laufen lasse (z. B. FasterFox) oder so was?

Prüfe ob ein Proxy eingerichtet wurde (IE->Extras->Internetoptionen->Verbindungen->LAN-Einstellungen)...

Poste bitte auch mal die Host-Datei:
Lade das Host-file (C:\WINDOWS\system32\drivers\etc\hosts) in einen Texteditor (im Explorer drauf klicken, rechte Maus, senden an -> editor).
Kopiere den Inhalt und poste ihn hier...

Wenn das nichts bringt, hoffen wir auf Myrtille!

chris

Also unter Proxy ist nichts angeklickt oder so.

Wenn ich die Host Datei rechtsklicke und auf "Senden an" gehe kommt kein Editor, sondern nur Email, Festplatte, Eigene Datein etc.

mfg croe