Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virenangriff

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.09.2008, 23:42   #1
Dr.Dietz
 
Virenangriff - Standard

Virenangriff



Hallo
hatte gestern einen regelrechten Viren-Überfall als ich auf der Seite von www.tv-techniker.de war....nach Laden eines Java Zertifikats ging es los... Firewall wurde automatisch abgeschaltet und ich bekam am laufenden Band Virenmeldungen von AntiVir, hab dann mal versucht alle zu löschen aber sobald der PC wieder am Netz ist kommen die ganzen Virenmeldungen wieder...Es handelt sich um Windows XP Home auf einem Laptop mit Wlan-I.Net

Was sind die richtigen Schritte?

Vielen Dank schonmal im Vorraus

Mfg

Anbei die Datei vom Suchlauf

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '75' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Cookies¤pfycw֝€
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.kpz
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5WUIYBL\554[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.pmd.2
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MK6C3KQ9\mainti[1].exe
[FUND] Ist das Trojanische Pferd TR/Crypt.FKM.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MK6C3KQ9\tmp[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.kpz
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\20c7cd81-6d887831
[0] Archivtyp: ZIP
--> OP4.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\514ba913-4feb366b
[0] Archivtyp: ZIP
--> MagicApplet.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.B
--> OwnClassLoader.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/ByteVerify
--> ProxyClassLoader.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.A
--> Installer.class
[FUND] Ist das Trojanische Pferd TR/Dldr.Java.OpenConnection.AO
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f2d1c8.qua' verschoben!
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20\344b3514-25187685
[0] Archivtyp: ZIP
--> OP15.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f2d1ce.qua' verschoben!
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20\49d3d614-1c194d39
[0] Archivtyp: ZIP
--> OP9.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4922d1d6.qua' verschoben!
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\b768995-6388b1a5
[0] Archivtyp: ZIP
--> OP10.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f4d1d8.qua' verschoben!
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\281a15d6-72fb9b4c
[0] Archivtyp: ZIP
--> OP8.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48efd216.qua' verschoben!
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\61bbf98-1ce42ddd
[0] Archivtyp: ZIP
--> OP7.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4920d21c.qua' verschoben!
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\12c505dd-4b4b6156
[0] Archivtyp: ZIP
--> OP14.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\7f1868a3-4968f31c
[0] Archivtyp: ZIP
--> OP3.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36\22f4fee4-4ae8d2d9
[0] Archivtyp: ZIP
--> OP.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\4f3142a5-7c8c0a00
[0] Archivtyp: ZIP
--> OP12.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44\2d22ebac-2e222c44
[0] Archivtyp: ZIP
--> OP11.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\62621baf-7f056cc9
[0] Archivtyp: ZIP
--> OP.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/ByteVerify.I
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51\425a5533-29bbe357
[0] Archivtyp: ZIP
--> OP5.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\70e027b4-39a1fe03
[0] Archivtyp: ZIP
--> OP13.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\647db3fd-5c7c5074
[0] Archivtyp: ZIP
--> OP6.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\2e6d193e-208b9ea1
[0] Archivtyp: ZIP
--> MagicApplet.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.B
--> OwnClassLoader.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/ByteVerify
--> ProxyClassLoader.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytver.5.A
--> Installer.class
[FUND] Ist das Trojanische Pferd TR/Dldr.Java.OpenConnection.AO
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\5d09f67e-2761a98d
[0] Archivtyp: ZIP
--> OP2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.GG
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Cookies\hkcup.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.kpz
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\miau666\Lokale Einstellungen\Temp\mainti.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.FKM.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\oembios.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\sysproc64\sysproc32.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\sysproc64\sysproc86.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\mainti.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.FKM.Gen
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Mittwoch, 3. September 2008 20:37
Benötigte Zeit: 48:33 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6876 Verzeichnisse wurden überprüft
232996 Dateien wurden geprüft
31 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
19 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
5 Dateien konnten nicht durchsucht werden
232960 Dateien ohne Befall
1471 Archive wurden durchsucht
5 Warnungen
25 Hinweise

Alt 05.09.2008, 10:16   #2
Sunny
Administrator
> Competence Manager
 

Virenangriff - Standard

Virenangriff



Hallo Dr.Dietz und





Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________

Alt 05.09.2008, 17:23   #3
Dr.Dietz
 
Virenangriff - Standard

Virenangriff



Hab jetzt mal einige Programme drüber rattern lassen hier der Combo Bericht:



Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\EdccIRqr.ini
C:\WINDOWS\system32\EdccIRqr.ini2

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PHYSICAL_MEMORY_PROTECTOR


((((((((((((((((((((((( Dateien erstellt von 2008-08-05 bis 2008-09-05 ))))))))))))))))))))))))))))))
.

2008-09-05 16:32 . 2008-09-05 16:32 <DIR> d-------- C:\Programme\CCleaner
2008-09-05 09:50 . 2008-09-05 10:14 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-05 01:00 . 2008-09-05 01:00 <DIR> d-------- C:\Programme\Trend Micro
2008-09-05 00:45 . 2008-09-05 00:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-05 00:45 . 2008-09-05 00:45 <DIR> d-------- C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Malwarebytes
2008-09-05 00:45 . 2008-09-05 00:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-05 00:45 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-05 00:45 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-05 00:04 . 2008-09-05 00:04 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-09-05 00:04 . 2008-09-05 00:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-05 00:04 . 2008-09-05 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-05 00:04 . 2008-09-05 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-04 21:22 . 2008-09-04 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Phone Browser
2008-09-04 20:53 . 2008-09-04 20:53 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-09-04 20:53 . 2008-09-04 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DivX
2008-09-04 20:36 . 2007-02-05 23:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-09-04 20:36 . 2007-02-05 23:37 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-09-04 20:36 . 2007-02-05 23:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-09-04 20:36 . 2007-02-05 23:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-09-04 20:36 . 2007-02-05 23:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-09-04 20:36 . 2007-02-05 23:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-09-04 20:36 . 2008-09-04 21:21 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-09-04 20:36 . 2008-09-04 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-09-04 05:20 . 2008-09-04 05:20 29 --a------ C:\WINDOWS\system32\artaqpgq.tmp
2008-09-04 05:20 . 2008-09-04 05:21 2 --a------ C:\1417171650
2008-09-02 19:23 . 2008-09-02 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Buhl Data Service
2008-09-02 19:23 . 2008-09-02 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2008-09-02 19:13 . 2008-09-02 19:13 114 --a------ C:\WINDOWS\buhl.ini
2008-09-02 19:09 . 2008-09-04 23:07 156 --a------ C:\WINDOWS\wiso.ini
2008-09-02 19:06 . 2008-09-02 19:24 <DIR> d-------- C:\Programme\WISO
2008-09-02 19:06 . 2008-09-02 19:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-09-02 19:06 . 2005-10-20 13:37 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-09-02 18:58 . 2008-09-02 18:58 <DIR> d-------- C:\Programme\DAEMON Tools Lite
2008-09-02 18:54 . 2008-09-02 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\DAEMON Tools
2008-09-02 18:54 . 2008-09-02 18:54 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-08-17 21:55 . 2008-08-17 21:55 <DIR> d-------- C:\Programme\DivXweb
2008-08-14 10:40 . 2008-05-01 16:30 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-05 14:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-02 17:24 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-02 17:14 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-08-24 20:45 --------- d-----w C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Skype
2008-08-19 18:17 --------- d-----w C:\Programme\Java
2008-08-18 16:23 --------- d-----w C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\OpenOffice.org3
2008-07-15 21:01 112 ----a-w C:\MP3GENRE.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 106496]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-03 335872]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1189309694\ee\AOLSoftware.exe" [2006-09-26 50736]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-10-19 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-02 267048]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 C:\WINDOWS\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-03-27 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIVF"= DivX412.dll
"msacm.l3fhg"= mp3fhg.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yeh03.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\InterVideo\\DVD5\\WinDVD.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"C:\\Programme\\AOL 9.0\\waol.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\1189309694\\ee\\aolsoftware.exe"=
"C:\\Programme\\ANSTOSS 3\\anstoss3.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\ftp.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-16 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-18 45376]
R2 atjsgt;atjsgt;C:\WINDOWS\system32\DRIVERS\atjsgt.sys [2007-07-04 165504]
R2 gbxsvc;gbxsvc;C:\Programme\GerbMagic\gbxsvc.exe [2007-01-15 28672]
R2 linsgt;linsgt;C:\WINDOWS\system32\DRIVERS\linsgt.sys [2007-07-04 16000]
R2 MSSQL$JTLWAWI;SQL Server (JTLWAWI);C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2007-02-10 29178224]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2003-10-27 190465]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2003-08-26 5817]
S0 Yeh03;Yeh03;C:\WINDOWS\system32\Drivers\Yeh03.sys [ ]
S2 vvuvrkjr;vvuvrkjr;C:\WINDOWS\system32\drivers\vvuvrkjr.sys [ ]
S3 restore;restore;C:\WINDOWS\system32\drivers\restore.sys [ ]
S3 RT-USB;Ross-Tech USB driver;C:\WINDOWS\system32\drivers\RT-USB.sys [2007-02-05 54176]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\X]
\Shell\AutoRun\command - X:\CD_Start.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{842DCA62-7257-486A-880A-70EC648B0DCB} - (no file)
ShellExecuteHooks-{1A75F101-126E-46A3-97B1-91A96D161C15} - (no file)
Notify-iifgEuVp - iifgEuVp.dll


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\miau666\Anwendungsdaten\Mozilla\Firefox\Profiles\qlt4c9hb.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-05 16:54:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-05 16:58:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-05 14:58:46

Pre-Run: 11 Verzeichnis(se), 42,911,981,568 Bytes frei
Post-Run: 14 Verzeichnis(se), 42,953,334,784 Bytes frei

181 --- E O F --- 2008-08-16 17:49:07
__________________

Alt 06.09.2008, 11:42   #4
Sunny
Administrator
> Competence Manager
 

Virenangriff - Standard

Virenangriff




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\artaqpgq.tmp
C:\WINDOWS\\system32\dplaysvr.exe
C:\\WINDOWS\\system32\\ftp.exe
C:\WINDOWS\system32\Drivers\Yeh03.sys (sofern noch vorhanden!)
C:\WINDOWS\system32\drivers\vvuv rkjr.sys  (sofern noch vorhanden!)
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!




Kaspersky - Onlinescanner


Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu Virenangriff
angriff, antivir, automatisch, content.ie5, datei, dateien, drivers, einstellungen, firewall, handel, home, internet, java, java-virus, laptop, löschen, namen, programme, registry, seite, suche, system, system32, tmp, verweise, virus, virus gefunden, warnung, windows, windows xp, windows\system32\drivers, windows\temp




Zum Thema Virenangriff - Hallo hatte gestern einen regelrechten Viren-Überfall als ich auf der Seite von www.tv-techniker.de war....nach Laden eines Java Zertifikats ging es los... Firewall wurde automatisch abgeschaltet und ich bekam am laufenden - Virenangriff...
Archiv
Du betrachtest: Virenangriff auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.