Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: YOur computer is infected - roter Kreis mit weißem Kreuz

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.10.2008, 11:17   #1
morpheusXtr
 
YOur computer is infected - roter Kreis mit weißem Kreuz - Standard

YOur computer is infected - roter Kreis mit weißem Kreuz



Hallo erstmal! Bin neu hier seit ca. 5 Minuten, denn: ich habe ein Problem!

Ich habe gesehen, dass dieses Thema hier zwar schon öfters behandelt wurde, aber ich wollte meine LOG Datei reinstellen.

Also gestern abend öffnet sich ein Pop-Up Fenster und der Rechner (WINXP SP2) fährt automatisch runter. Nach Neustart - unten rechts im Tray roter Kreis mit weißem Kreuz mit der Warnung "your computer is infected...)
Ich habe dort NICHT drauf geklickt.
Habe zuerst mit "Spybot - Search & Destroy" alles durchlaufen lassen und die gefundenen Sachen entfernen lassen.
Roter Kreis mit weißem Kreuz blieb!
Nun habe ich heute morgen mit "Malwarebytes' Anti-Malware" alles durchsucht und habe auch nochmal was gefunden und entfernen lassen. Die LOG-Datei (siehe unten).
Seitdem ist dieser rote Kreis mit weißem Kreuz weg und auch der Internet Explorer funktioniert wieder.
Aber: Ich hatte davor immer das rote Security-Schild von XP unten rechts im Tray (deswegen rot, weil ich automatische Updates und die Windows Firewall abgeschaltet habe). Und dieses Security-Schild fehlt nun.
Meine Frage: Könnt ihr anhand der LOG Datei von Malwarebytes' Anti-Malware sehen, ob nun alles wieder ok ist?
Bitte helft mir - woher weiß ich, dass alles wieder normal ist???
Danke euch!

Hier meine LOG-Datei:

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1276
Windows 5.1.2600 Service Pack 2

17.10.2008 10:48:17
mbam-log-2008-10-17 (10-48-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 132971
Laufzeit: 44 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{342CF724-4BDA-6CB7-80C8-03E4FB648091} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\srvcmden (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\comcfg (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\uvs0hroilx (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\pmbnojc\srvcmden.dll (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\jwtmnqro.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\darsvixi\tkvczijs.exe (Trojan.FakeAlert.H) -> Delete on reboot.

Alt 17.10.2008, 17:04   #2
nochdigger
 
YOur computer is infected - roter Kreis mit weißem Kreuz - Standard

YOur computer is infected - roter Kreis mit weißem Kreuz



Hallo und

Zitat:
Meine Frage: Könnt ihr anhand der LOG Datei von Malwarebytes' Anti-Malware sehen, ob nun alles wieder ok ist?
Kurz, NEIN

Erstelle bitte mal ein HijackThis Log und lass anschließend Combofix dein System untersuchen
Zitat:
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
Poste bitte beide Logs hierher, dann sehen wir weiter.

MFG
__________________

__________________

Alt 18.10.2008, 09:49   #3
morpheusXtr
 
YOur computer is infected - roter Kreis mit weißem Kreuz - Standard

YOur computer is infected - roter Kreis mit weißem Kreuz



Hallo,
danke für deine schnelle Antwort!
Habe nun alles so gemacht, wie du gesagt hast:
1. HijackThis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:37:02, on 18.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Cyberlink\Shared Files\brs.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [BullGuard] "C:\Programme\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LClock] C:\Programme\LClock\LClock.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163614636698
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8663 bytes
         
2. CCleaner laufen lassen, wie in der Beschreibung

3. ComboFix:

Code:
ATTFilter
ComboFix 08-10-17.01 - XXX 2008-10-18  9:36:04.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\inst.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-18 bis 2008-10-18  ))))))))))))))))))))))))))))))
.

2008-10-18 09:26 . 2008-10-18 09:26	<DIR>	d--------	C:\Programme\CCleaner
2008-10-17 09:59 . 2008-10-17 09:59	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-10-17 09:59 . 2008-10-17 09:59	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-16 22:28 . 2008-10-17 12:24	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-10-16 22:28 . 2008-10-17 12:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-16 21:29 . 2008-10-17 10:51	<DIR>	d--------	C:\Programme\pmbnojc
2008-10-16 21:29 . 2008-10-17 10:51	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\darsvixi
2008-09-28 08:39 . 2008-09-28 08:39	<DIR>	d--------	C:\Programme\CrossLoop
2008-09-27 09:19 . 2008-09-27 10:53	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-09-27 09:19 . 2008-09-27 10:53	1,409	--a------	C:\WINDOWS\QTFont.for

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-18 06:26	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-17 17:46	---------	d-----w	C:\Programme\Eraser
2008-10-17 09:05	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Azureus
2008-10-14 19:07	---------	d-----w	C:\Programme\eMule
2008-10-13 07:15	---------	d-----w	C:\Programme\ReGetDx
2008-10-11 09:45	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-10-11 09:41	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Vso
2008-09-03 19:32	14,852	----a-w	C:\Programme\settings.dat
2008-09-03 19:32	---------	d-----w	C:\Programme\PDFCreator
2008-09-03 19:16	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\WordToPDF
2008-01-25 06:10	47,360	----a-w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\pcouffin.sys
2007-08-08 00:11	1,794,816	----a-w	C:\WINDOWS\inf\IEM\1.exe
2006-12-15 14:44	81,920	----a-w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ezpinst.exe
2006-12-15 00:27	0	----a-w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\wklnhst.dat
2006-11-15 19:12	8	--sh--r	C:\WINDOWS\system32\8679CB5C67.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-08-07 634880]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-09-06 7585792]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2006-09-04 65536]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"SMSERIAL"="C:\WINDOWS\sm56hlpr.exe" [2006-04-05 565248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]
"InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-23 93640]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 282624]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 406016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"BDRegion"="C:\Programme\Cyberlink\Shared Files\brs.exe" [2007-11-16 91432]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 72736]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 62760]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-22 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM
"VIDC.ACDV"= ACDV.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.I420"= vdrcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\CrossLoop\\CrossLoopConnect.exe"=

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-11-02 21:42 41456]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [ ]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [ ]
S3 PEEK5;PEEK5 Protocol Driver;C:\DOKUME~1\MORPHE~1\EIGENE~1\W-LAN\WEP-AI~1\AIRCRA~1.1_W\PEEK5.SYS [ ]
S3 PhilCap;PhilCap service;C:\WINDOWS\system32\DRIVERS\PhilCap.sys [2006-10-12 1053824]

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D8E046D5-C796-6B6E-9A3B-CB09AA51CE29}]
C:\WINDOWS\inf\IEM\Stream.exe
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.web.de/
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
O8 -: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 -: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 -: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-18 09:37:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
Zeit der Fertigstellung: 2008-10-18  9:39:01
ComboFix-quarantined-files.txt  2008-10-18 07:38:57

Vor Suchlauf: 9.225.670.656 Bytes frei
Nach Suchlauf: 9,789,558,784 Bytes frei

143
         
So: Nun die große Frage: ist mein System frei von "MÜLL und Trojanern"???

Bitte um Auswertung der beiden LOGs.
P.S.: super schnelle Antwort hier im Forum! Genial!

Danke schon mal!
__________________

Alt 18.10.2008, 18:37   #4
morpheusXtr
 
YOur computer is infected - roter Kreis mit weißem Kreuz - Standard

YOur computer is infected - roter Kreis mit weißem Kreuz



Hallo???

Kann jemand in diesem Board die beiden LOGs auswerten und mir sagen, ob mein System sweit "clear" ist?

Ihr würdet mir echt helfen!
Grüße euer morpheuxtr

Alt 19.10.2008, 07:30   #5
nochdigger
 
YOur computer is infected - roter Kreis mit weißem Kreuz - Standard

YOur computer is infected - roter Kreis mit weißem Kreuz



Hallo

Zitat:
So: Nun die große Frage: ist mein System frei von "MÜLL und Trojanern"?
Nö, guckst du
Zitat:
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Azureus
C:\Programme\eMule

Lass bitte diese Dateien

C:\WINDOWS\inf\IEM\1.exe
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ezpinst.exe
C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\wklnhst.dat
C:\WINDOWS\system32\8679CB5C67.sys

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.


Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
Folder::
C:\Programme\pmbnojc
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\darsvixi
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


MFG

__________________
Kein Support per PN - Bitte im Forum posten.

Alt 19.10.2008, 08:23   #6
morpheusXtr
 
YOur computer is infected - roter Kreis mit weißem Kreuz - Standard

YOur computer is infected - roter Kreis mit weißem Kreuz



Hi nochdigger,
danke für deine Hilfe - ich bin so nichtsahnend was Viren angeht.
Habe jetzt mal versucht diese Dateien mit VirusTotal hochzuladen und zu überprüfen:

Die ersten 3 Dateien: Kein Problem (wobei bei der 3. Datei kein richtiges Ergebnis kam - aber schau dir den Link an) --> hier die Links:

http://www.virustotal.com/de/analisis/63c9809f63ee9a600e30b22f47e94eb0

http://www.virustotal.com/de/analisis/06b1939858658c7d290d156e7d39ef9f

http://www.virustotal.com/vt/de/recepcion?84a64bc8218036cbc05044ffe8d6419b

Die 4. Datei C:\WINDOWS\system32\8679CB5C67.sys --> habe ich nicht gefunden bei mir aufm Rechner!

Soll ich jetzt das mit dem Combofix, was du mir grad noch gepostet hast nun trotzdem machen oder nicht???
Wie soll ich weiter machen?!

Danke dir!

Alt 19.10.2008, 09:47   #7
nochdigger
 
YOur computer is infected - roter Kreis mit weißem Kreuz - Standard

YOur computer is infected - roter Kreis mit weißem Kreuz



Hallo

Zitat:
Soll ich jetzt das mit dem Combofix, was du mir grad noch gepostet hast nun trotzdem machen oder nicht???
Wie soll ich weiter machen?!
Wie beschrieben mit dem Combofix Scripten (Guard von Antivir deaktivieren).

Nach einem Neustart lade dir bitte das AVP-Tool von Kaspersky runter und lass es dein System untersuchen.
Kaspersky - AVP Tool
berichte anschließend bitte ob und was gefunden wurde.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 19.10.2008, 16:34   #8
morpheusXtr
 
YOur computer is infected - roter Kreis mit weißem Kreuz - Standard

YOur computer is infected - roter Kreis mit weißem Kreuz



So habe nun mit dem Combofix Scripten folgende Log erhalten:

Code:
ATTFilter
ComboFix 08-10-17.01 - XXX 2008-10-19 10:20:23.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.559 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\XXX\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\darsvixi
C:\Programme\pmbnojc

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-19 bis 2008-10-19  ))))))))))))))))))))))))))))))
.

2008-10-18 09:43 . 2008-10-18 09:43	<DIR>	d--------	C:\WINDOWS\system32\LogFiles
2008-10-17 09:59 . 2008-10-17 09:59	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-10-17 09:59 . 2008-10-17 09:59	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-16 22:28 . 2008-10-17 12:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-28 08:39 . 2008-09-28 08:39	<DIR>	d--------	C:\Programme\CrossLoop
2008-09-27 09:19 . 2008-09-27 10:53	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-09-27 09:19 . 2008-09-27 10:53	1,409	--a------	C:\WINDOWS\QTFont.for

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 08:07	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Azureus
2008-10-19 06:26	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-18 21:47	---------	d-----w	C:\Programme\Eraser
2008-10-14 19:07	---------	d-----w	C:\Programme\eMule
2008-10-13 07:15	---------	d-----w	C:\Programme\ReGetDx
2008-10-11 09:45	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-10-11 09:41	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Vso
2008-09-03 19:32	---------	d-----w	C:\Programme\PDFCreator
2008-09-03 19:16	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\WordToPDF
2008-01-25 06:10	47,360	----a-w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\pcouffin.sys
2007-08-08 00:11	1,794,816	----a-w	C:\WINDOWS\inf\IEM\1.exe
2006-12-15 14:44	81,920	----a-w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ezpinst.exe
2006-12-15 00:27	0	----a-w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\wklnhst.dat
2006-11-15 19:12	8	--sh--r	C:\WINDOWS\system32\8679CB5C67.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-08-07 634880]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-09-06 7585792]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2006-09-04 65536]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2006-07-10 86016]
"SMSERIAL"="C:\WINDOWS\sm56hlpr.exe" [2006-04-05 565248]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320]
"InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-23 93640]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 282624]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 406016]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"BDRegion"="C:\Programme\Cyberlink\Shared Files\brs.exe" [2007-11-16 91432]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 72736]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 62760]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-22 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM
"VIDC.ACDV"= ACDV.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.I420"= vdrcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\CrossLoop\\CrossLoopConnect.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-11-02 21:42 41456]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [ ]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [ ]
S3 PEEK5;PEEK5 Protocol Driver;C:\DOKUME~1\MORPHE~1\EIGENE~1\W-LAN\WEP-AI~1\AIRCRA~1.1_W\PEEK5.SYS [ ]
S3 PhilCap;PhilCap service;C:\WINDOWS\system32\DRIVERS\PhilCap.sys [2006-10-12 1053824]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D8E046D5-C796-6B6E-9A3B-CB09AA51CE29}]
C:\WINDOWS\inf\IEM\Stream.exe
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-19 10:22:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
Zeit der Fertigstellung: 2008-10-19 10:23:52
ComboFix-quarantined-files.txt  2008-10-19 08:23:45

Vor Suchlauf: 7.946.309.632 Bytes frei
Nach Suchlauf: 8,248,455,168 Bytes frei

129
         
Danach habe ich mit dem AVP-Tool von Kaspersky mein System untersuchen lassen und folgenden Report erhalten:

Code:
ATTFilter
Scan
----
Scanned:	653630
Detected:	5
Untreated:	0
Start time:	19.10.2008 12:13:30
Duration:	03:30:46
Finish time:	19.10.2008 15:44:16


Detected
--------
Status	Object
------	------
deleted: riskware not-a-virus:RemoteAdmin.Win32.WinVNC-based.h	File: C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Downloads\CrossLoop231Setup.exe//file057
deleted: riskware not-a-virus:RemoteAdmin.Win32.WinVNC-based.b	File: C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Downloads\CrossLoop231Setup.exe//file058
deleted: riskware not-a-virus:RemoteAdmin.Win32.WinVNC-based.b	File: C:\Programme\CrossLoop\VNCHooks.dll
deleted: riskware not-a-virus:RemoteAdmin.Win32.WinVNC-based.h	File: C:\Programme\CrossLoop\winvnc.exe
deleted: riskware not-a-virus:RiskTool.Win32.CloseApp.e	File: C:\WINDOWS\system32\closeapp.exe


Events
------
Time	Name	Status	Reason
----	----	------	------


Statistics
----------
Object	Scanned	Detected	Untreated	Deleted	Moved to Quarantine	Archives	Packed files	Password protected	Corrupted
------	-------	--------	---------	-------	-------------------	--------	------------	------------------	---------


Settings
--------
Parameter	Value
---------	-----
Security Level	Recommended
Action	Prompt for action when the scan is complete
Run mode	Manually
File types	Scan all files
Scan only new and changed files	No
Scan archives	All
Scan embedded OLE objects	All
Skip if object is larger than	No
Skip if scan takes longer than	No
Parse email formats	No
Scan password-protected archives	No
Enable iChecker technology	No
Enable iSwift technology	No
Show detected threats on "Detected" tab	Yes
Rootkits search	Yes
Deep rootkits search	No
Use heuristic analyzer	Yes


Quarantine
----------
Status	Object	Size	Added
------	------	----	-----


Backup
------
Status	Object	Size
------	------	----
         
So, nun bin ich mal auf die Auswertung gespannt - ist mein System nun endlich soweit "clean" oder fehlt noch was???
Danke für bisherige Hilfe - habt du dir das selber bei gebracht oder bist du Profi???

Mfg Morpheusxtr

Alt 19.10.2008, 17:50   #9
nochdigger
 
YOur computer is infected - roter Kreis mit weißem Kreuz - Standard

YOur computer is infected - roter Kreis mit weißem Kreuz



Hallo

Zitat:
deleted: riskware not-a-virus:RiskTool.Win32.CloseApp.e File: C:\WINDOWS\system32\closeapp.exe
wenn CrossLoop beabsichtigt installiert worden ist, denke ich man kann dich entlassen.
Behalte Malwarebytes und überprüfe dein System in den nächsten Tagen mal zwischendurch (vorher updaten), wenn nix mehr gefunden wird sollte es das gewesen sein.

Zitat:
Danke für bisherige Hilfe - habt du dir das selber bei gebracht oder bist du Profi?
Nein kein Profi höchstens fortgeschrittener DAU, ich habe mir vor Jahren wie viele andere auch den Sasser eingefangen und seit dem mit dem Thema beschäftigt.


MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 20.10.2008, 08:52   #10
morpheusXtr
 
YOur computer is infected - roter Kreis mit weißem Kreuz - Standard

YOur computer is infected - roter Kreis mit weißem Kreuz



Hi nochdigger!

Also Crossloop hatte ich nicht installiert (vielleicht mein kleiner Bruder) - egal!
Ist ja, wenn er es braucht schnell wieder installiert.
Dir noch mal ein herzlichen Dank - habe bisher keine Warnung von AntiVir bekommen und lasse nun wöchentlich einmal Malware laufen.

Warst mir ne riesen Hilfe - ich dachte schon, ich müsste alles Platt machen.
Gruß morpheusxtr

Antwort

Themen zu YOur computer is infected - roter Kreis mit weißem Kreuz
.dll, 5 minuten, computer, dateien, einstellungen, entfernen, explorer, firewall, frage, infected, internet, internet explorer, log, log datei, log-datei, malwarebytes, malwarebytes' anti-malware, microsoft, neu, neustart, pop-up, pop-up fenster, problem, programme, registrierungsschlüssel, software, system, trojan.fakealert.h, updates, warnung, weißem kreuz, windows, your computer is infected, öffnet



Ähnliche Themen: YOur computer is infected - roter Kreis mit weißem Kreuz


  1. 5-Sekunden-Countdown + weißes Kreuz im roten Kreis - Virus o. ä.?
    Plagegeister aller Art und deren Bekämpfung - 15.09.2013 (13)
  2. Roter Kreis mit weißem X - Your computer is infected!
    Log-Analyse und Auswertung - 23.10.2009 (11)
  3. Roter Kreis weißes X - Your computer is Infected!
    Mülltonne - 20.10.2009 (0)
  4. Desktop blinkt Warning, Roter Kreis mit weißem Kreuz neben der Uhr.
    Plagegeister aller Art und deren Bekämpfung - 02.03.2009 (29)
  5. spyware (roter kreis)
    Plagegeister aller Art und deren Bekämpfung - 11.02.2009 (20)
  6. Roter Kreis mit weißem Kreuz
    Plagegeister aller Art und deren Bekämpfung - 10.02.2009 (22)
  7. Roter Kreis - weißes Kreuz ... computer is infected
    Log-Analyse und Auswertung - 22.10.2008 (1)
  8. Roter Kreis/Weisses Kreuz; Internet-Explorer funzt nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 21.10.2008 (7)
  9. Bitte um Hilfe: Roter Kreis mit weißem X
    Log-Analyse und Auswertung - 21.10.2008 (2)
  10. Roter Kreis mit weißem Kreuz < your system is infected!
    Log-Analyse und Auswertung - 18.10.2008 (4)
  11. roter kreis mit kreuz "your computer is infected"
    Log-Analyse und Auswertung - 17.10.2008 (2)
  12. "Your computer is infected" - Rotes Kreuz in der Taskleiste
    Log-Analyse und Auswertung - 16.09.2007 (4)
  13. 2 gelbe Dreiecke und 1 roter Kreis :(
    Log-Analyse und Auswertung - 14.12.2006 (13)
  14. Roter Kreis mit weißem Kreuz in der Taskleiste
    Log-Analyse und Auswertung - 14.10.2006 (2)
  15. Hilfe dringend Roter Kreis mit weißem Kreuz
    Log-Analyse und Auswertung - 22.04.2006 (1)
  16. Roter Kreis mit X in der Task Leiste
    Log-Analyse und Auswertung - 02.04.2006 (1)
  17. Roter Kreis mit weißem X - Your computer is Infected!
    Plagegeister aller Art und deren Bekämpfung - 05.01.2006 (15)

Zum Thema YOur computer is infected - roter Kreis mit weißem Kreuz - Hallo erstmal! Bin neu hier seit ca. 5 Minuten, denn: ich habe ein Problem! Ich habe gesehen, dass dieses Thema hier zwar schon öfters behandelt wurde, aber ich wollte meine - YOur computer is infected - roter Kreis mit weißem Kreuz...
Archiv
Du betrachtest: YOur computer is infected - roter Kreis mit weißem Kreuz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.