das ist mir auch klar, ich habs meiner schwester diesmal aber wirklich zu verstehen gegeben dass sie vorsichtiger sein MUSS und erwachsener mit dem Inet umgehen muss... ich hab noch nie einen virus gehabt, jedenfalls keinen bemerkbaren, wenn man nur ein bisschen aufpasst kommt man doch auch ohne gut klar =)

Was hat der Virus denn eventuell schon angestellt? :S
Wenn der Virus weg ist, müsste doch alles ok sein oder? was können den mögliche folgen sein?

das es ohne aktuelle datenbank sinnlos ist war mir auch klar, deshalb hab ich es ja überhaupt nur erwähnt ^^
ich versuch dann gleich combo fix laufen zu lassen und dann nochmal das update zu machen

und mach dann auch den full scan

achso und was Neuaufsetzen angeht, das hatte ich eh vor, ich wollte nur vorher auch mal was lernen dass ich nicht immer hier hingerannt kommen muss und vielleicht auch mal irgendwem helfen kann beim Neuaufsetzen halt ich mich dann auch an deine anleitung !


so ich mach in 30 mins das combo fix dingens und dann postei ch nochmalwas


im nächsten schritt nennst du mir dann sicher mördervirenkillerprogramme oder?

vlg julian

Zitat:

Zitat von badfliege

das ist mir auch klar, ich habs meiner schwester diesmal aber wirklich zu verstehen gegeben dass sie vorsichtiger sein MUSS und erwachsener mit dem Inet umgehen muss... ich hab noch nie einen virus gehabt, jedenfalls keinen bemerkbaren, wenn man nur ein bisschen aufpasst kommt man doch auch ohne gut klar =)

Misstrauen ist das beste was es gibt! Nicht überall klicken wo es blinkt und immer daran denken, das es nichts umsonst gibt!

Zitat:

Zitat von badfliege

Was hat der Virus denn eventuell schon angestellt? :S
Wenn der Virus weg ist, müsste doch alles ok sein oder? was können den mögliche folgen sein?

Also da es sich, wahrscheinlich, um einen Backdoor handelt kann so ziemlich alles an dem System geändert worden sein! Möglich, das der Rechner garnicht mehr Deiner Schwester gehört sondern dem Typ der den Backdoor geschrieben hat! Möglich sind viele dinge......Der Rechner wird für Spam Missbraucht, in einem Bootnetz eingebunden, zur Verbreitung Pornografischer Inhalte genutzt usw. Das kann alles sein, muss aber nicht! Backdoors haben die Eigenschaft, dritten (also jemand anderen) Zugang zum Rechner zu verschaffen ohne das du es merkst! Und genau das ist das Problem.....man weiß nicht, wie er das gemacht hat und welche Dateien er manipuliert hat!

Zitat:

Zitat von badfliege

im nächsten schritt nennst du mir dann sicher mördervirenkillerprogramme oder?

Es gibt kein Programm, das jeden Virus erkennt und Blockiert! Solange du (Ihr) das nicht begreift müsst Ihr noch viel lernen! Das Problem der Programme: Sie täuschen dem Anwender Sicherheit vor und der Anweder glaubt das auch und überlegt nicht, was er im Netz anklickt/runterlädt und ausführt! Ich zum Beispiel nutze kein Virenprogramm....und das seit über 2 Jahren und hab nicht einen Virus auf dem Rechner! Wieso? Weil ich weiß wie man sich im Netz verhält und zu 99,8% die Viren dem User seine hilfe brauchen um auf das System zu kommen!

Gruß

ich stimmt dir in allen punkten zu, du musst wissen ich bin einer von deiner sorte ^^

ich hab auch kein virenprogramm und hatte wie gesagt nie einen virus weil ich mich auch gut im internet auskenne und eben sehr misstrauisch geworden bin

und ich hab d a s virenkillerprogramm nur ironisch angesprochen weil wir ja bis jetzt viel analysierungsarbeit gemacht haben, diese ganzen logfiles galten doch nur zum finden des virus und ich dachte halt jetzt dass du mir ein programm nennst mit dem man den entdeckten virus gezielt bekämpfen kann

ich mach jetzt mal combo fix und poste die ergebnisse

so combofix ist durch, internet geht noch =)

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-09-22.06 - Leonie 2008-09-24 18:56:35.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.238 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Leonie\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Leonie\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2008-08-24 bis 2008-09-24  ))))))))))))))))))))))))))))))
.

2008-09-24 18:50 . 2008-09-24 18:50	<DIR>	d--------	C:\Programme\CCleaner
2008-09-24 18:37 . 2008-09-24 18:37	<DIR>	d--------	C:\Programme\Lavalys
2008-09-24 16:54 . 2008-09-24 16:54	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-09-24 16:54 . 2008-09-24 16:54	<DIR>	d--------	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\Malwarebytes
2008-09-24 16:54 . 2008-09-24 16:54	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-24 16:54 . 2008-09-08 00:11	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-24 16:54 . 2008-09-08 00:11	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-22 17:31 . 2008-09-22 17:31	<DIR>	d--------	C:\Programme\Trend Micro
2008-09-20 21:22 . 2008-09-20 21:22	<DIR>	d--------	C:\Programme\TinyProxy
2008-09-20 21:21 . 2008-09-20 21:21	1	--a------	C:\WINDOWS\fmark2.dat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 15:56	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-24 14:32	---------	d-----w	C:\Programme\ICQToolbar
2008-09-22 13:44	---------	d-----w	C:\Programme\ICQ6
2008-09-21 20:10	---------	d-----w	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\Skype
2008-09-21 20:03	---------	d-----w	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\skypePM
2008-09-11 11:45	---------	d-----w	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\WEB.DE
2008-08-05 17:36	171,618	----a-w	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\mdb.bin
2008-01-12 19:34	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-04-25 18:14	3,330	----a-w	C:\Dokumente und Einstellungen\Leonie\CachedXtraz.bin
2005-06-07 12:02	43,688	----a-w	C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-03 09:06	163,328	--sha-r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Agent"="C:\Programme\Medion\PowerVCR II\Agent.exe" [2002-05-21 94208]
"Remote_Agent"="C:\Programme\Medion\PowerVCR II\RemoteAgent.exe" [2002-05-21 32768]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 5562368]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2003-05-14 26112]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-04-01 86016]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 266497]
"FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2006-12-25 356352]
"ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"SoundMan"="SOUNDMAN.EXE" [2003-01-20 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-04-01 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\vio\dvacm.acm
"msacm.mpegacm"= mpegacm.acm
"msacm.ulmp3acm"= ulmp3acm.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"\\\\JULIAN\\Battlefront\\GameData\\Battlefront.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-21 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-27 45376]
R1 SSHDRV5C;SSHDRV5C;C:\WINDOWS\system32\drivers\SSHDRV5C.sys [2006-11-21 34816]
R2 DHCP-Client (Dhcp) ;DHCP-Client (Dhcp) ;C:\Programme\TinyProxy\TinyProxy.exe [2008-09-20 11520]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [ ]
S3 gsplittm;gsplittm;C:\DOKUME~1\Leonie\LOKALE~1\Temp\gsplittm.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{27173A27-28E8-06CE-0400-070207060100}]
C:\WINDOWS\system32\server2.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-Spyware Doctor - (no file)
Notify-slbipsch - C:\WINDOWS\system32\slbipsch.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\Mozilla\Firefox\Profiles\wcepxch6.Basketball\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.web.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-24 19:01:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\WINDOWS\TEMP\mc21.tmp"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-24 19:09:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-24 17:09:07

Vor Suchlauf: 15 Verzeichnis(se), 24.602.619.904 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 24,520,990,720 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

151
         

so jetzt versuch ich nochmal das update

ja ehm das update hat geklappt

hier jetzt der logfile

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1202
Windows 5.1.2600 Service Pack 2

24.09.2008 20:49:37
mbam-log-2008-09-24 (20-49-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 146732
Laufzeit: 1 hour(s), 15 aminute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
         

wie gehts jetzt weiter, der virus ist ja immernoch da, bis jetzt wurd ja nur analysiert wenn ich das richtig sehe?

und bevor ich windows neu aufsetze, was soll ich mit der virus datei tinyproxy.exe machen? einfach drauflassen? :S

huhu? noch da mellosun? ^^

ich würd gern wissen was ich jetzt machen soll :S