Hi,

lass bitte folgende Datei bei virustotal auswerten:

Zitat:

C:\WINDOWS\system32\drivers\svchost.exe

Poste das Ergebnis dann hier.


Lass danach Malwarebytes deinen Rechner scannen und bereinigen und poste das Log dann hier.

lg myrtille

Hi

Recht herzlichen Dank myrtille für deinen Tip mit dem Malwarebytes Programm. Mein Rechner ist nun wieder sauber.

Hier die Log von MalWareBytes

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1076
Windows 5.1.2600 Service Pack 2

20:35:06 21.08.2008
mbam-log-08-21-2008 (20-35-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 99612
Laufzeit: 41 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcg8kj0ejm2.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
         

Nochmals vielen Dank
MfG Steve

Hey,

ich bin zwar neu hier aber ich glaube jeder sollte zwecks Übersicht für sein Problem einen neuen Thread eröffnen oder?
Na ja ok also ich hab die Datei gesucht um sie bei Virustotal hochzuladen und nicht gefunden. Es ist möglich, dass die schon gelöscht wurde weil ich es gestern nicht mehr ausgehalten hab und dann Search&Destroy rüberlaufen lassen hab.

Malwarebyte hat ergeben :

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1072
Windows 5.1.2600 Service Pack 2

23:30:37 21.08.2008
mbam-log-08-21-2008 (23-30-37).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 163880
Laufzeit: 1 hour(s), 55 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\phceggj0ea29.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         

Ansich läuft im moment alles wieder ganz gut. Aber die Unsicherheit bleibt son bisschen im Hinterkopf.
Kann ich noch was tun?

Mfg bobby

Hi

Zitat:

Zitat von bobby_R

<snip>ich bin zwar neu hier aber ich glaube jeder sollte zwecks Übersicht für sein Problem einen neuen Thread eröffnen oder? <snap>

Ich hätte wohl schon einen neuen Thread aufgemacht, wenn es bei mir nicht um den "Peed.A.661" gegangen wäre. Da aber das der Fall ist und ich in diesem Thread die Lösung meines Problems gefunden hab, poste ich hier wenigstens nen Danke und wie gewünscht die Log von Malwarebytes

So Long und MfG
Steve

Heya Steve,

eröffne bitte einen eigenen Thread. Dein Log legt den Verdacht nahe, dass du noch weitere Adware auf deinem Rechner hast.

Poste in dem neuen Thread eine kurze Beschreibung deines Problems, sowie ein HijackThis log.

lg myrtille

ok. Also wie schon gesagt ist die svchost.exe nicht mehr da in dem Verzeichnis.

Die anderen Scans:

File listing:

File-Upload.net - listing.txt


Blacklight:

Code: Alles auswählenAufklappen

ATTFilter

08/23/08 11:11:21 [Info]: BlackLight Engine 1.0.70 initialized
08/23/08 11:11:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/23/08 11:11:21 [Note]: 7019 4
08/23/08 11:11:21 [Note]: 7005 0
08/23/08 11:11:25 [Note]: 7006 0
08/23/08 11:11:25 [Note]: 7011 1588
08/23/08 11:11:25 [Note]: 7035 0
08/23/08 11:11:25 [Note]: 7026 0
08/23/08 11:11:26 [Note]: 7026 0
08/23/08 11:11:29 [Note]: FSRAW library version 1.7.1024
08/23/08 11:19:36 [Note]: 7007 0
         

Gmer:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.14.14536 - h**p://www.gmer.net
Rootkit scan 2008-08-23 11:31:33
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            F8BA4214                                                                     ZwCreateThread
SSDT            F8BA4200                                                                     ZwOpenProcess
SSDT            F8BA4205                                                                     ZwOpenThread
SSDT            F8BA420F                                                                     ZwTerminateProcess
SSDT            F8BA420A                                                                     ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                      SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                     fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.14 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b6b59617d  
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b6b5962e2  
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000b6b59617d      
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000b6b5962e2      

---- EOF - GMER 1.0.14 ----
         

Aufjednefall schon mal vielen Dank !!

mfg bobby

Hi,

die Logs sehen alle sauber aus. Hatte Antivir bei dir schon "aufgeräumt"? Bzw hat es Dateien gelöscht?

Wie gehts dem Rechnre? Die Logs sehen gut aus.
Poste bitte noch ein neues Hijackthislog

lg myrtille

Zitat:

Zitat von myrtille

Hi,

lass bitte folgende Datei bei virustotal auswerten:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\drivers\svchost.exe
         

Poste das Ergebnis dann hier.

lg myrtille

Führe bitte den von Myrtille vorgegebenen Schritt aus.


Desweiteren:

Erstelle bitte ein filelisting mit diesem script:
- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem DesktopDiese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.



Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.