Hallo,
Ich habe mir den TR Vundo.Gen eingefangen und wenn ich mich nicht täusche noch andere Viren eingefangen.
(System: Windows XP, SP3)
Bemerkt habe ich es dadurch, dass "VirusScan" den Virus (nur Vundo.Gen.k) erkennt. Ausserdem sind mir (wohl vom Virus) die "Automatische Updates" (siehe => Windows-Sicherheitscenter) irgendwie ausgeschalten worden, sodass ich sie nicht mehr aktivieren kann (Folge: Ich kann keine Microsoft Sicherheitsupdates von der originalen Seite mehr downloaden). Der Internet Explorer ist auch gespamt (ich verwende ihn normalerweise nur für Mailen mit Hotmail, darum ist mir unerklärlich wie der Virus dorthin gekommen ist). Es öffnet Sites von unvertrauenswürdigen Virenscannern, "Datingsites", etc. als Popups die ich mit der offline Funktion im moment unterbinde.

Der Virus versteckt sich in den Temporären Dateien vom Internet Explorer. VirusScan, ich über den Explorer und Spybot S&D konnten ihn nicht unwiederruflich löschen, ihn quarantäne stellen, oder "reparieren".

Seit neustem kommt ein Popup in der Symbolleiste unten rechts das mir den XP AntivirusScan 2009 nahelegen will, was ja aber nicht gratis ist... Ich habe das glücklicherweise entfernen können (hat richtig genervt).
Der Spybot lässt sich aber nicht mehr öffnen. Er scheint vom Virus ausgeschalten worden zu sein. Ich kann einfach das Programm nicht ausführen und im TaskManager kann ich auch nicht einen Hinweis finden, dass es schon ausgeführt wird. Der Updater (eigene Ausführende Datei) scheint ok zu sein. Der VirusScan hat eine automatische Viren-suchfunktion die auch deaktiviert ist (kann ich nicht wieder aktivieren). Es ist die "Scannen-bei-Zugriff" funktion. Von mir gestartete Scans sind glücklicherweise noch ausführbar.

Mir wurde schon einmal der Computer ausgeschaltet "zum Schutz". Ich weiss nicht mehr wie das genannt wurde, aber es ist so eine Meldung mit blauem Hintergrund die sagt man solle den Computer neustarten falls dies das 1. mal geschieht und sonst Rat suchen (Administrator um Hilfe fragen, ...). Seit dieser Meldung erkennt VirusScan noch andere Viren und zu diesem Zeitpunkt ist auch das Problem mit dem Spybot, dem VirusScan (beide "ausgeschaltet") und dem "XP Antivirus" aufgetreten.

Ich bin leider ein bisschen ratlos was ich machen sollte. Diese Hijacklogs verstehe ich nicht (ich bin nicht gut im Umgang mit Computern. Normalerweise macht das mein Vater (bin 17) aber im Moment bin ich in einem Austauschjahr in der USA und mein Vater kann mir auch nicht support geben, da er momentan arbeitsbedingt im Ausland weilt.).

Sorry, dass ich einen Aufsatz geschrieben habe...

Ich hoffe sehr, dass ihr mir Rat geben könnt und danke euch vielmals für jegliche Antworten.

Gruss ABBDVD

PS:
Hier ist ein Link zu den vom VirusScan entdeckten Problemen.
Vom VirusScan entdeckte Probleme (Link führt zu Bilder-upload.eu)

Ich hab beim zufälligen lesen hier im Forum folgenden Beitrag zum Vundo TR gefunden:

Zitat:

Zitat von Silent sharK

Dann lass bitte MBAM aus und mach bei Combofix weiter.
BTW: Hast du letzter Zeit einen Link von einem MSN-Kontakt bekommen, der zu einem Video führte?

Ich habe leider solch einen Link angeklickt
Ich bin jetzt wirklich wütend
Ich hoffe das lässt sich doch noch reparieren...
Nochmals vielen Dank für alle die sich die Mühe nehmen antworten zu schreiben.

ich habe die HijackThis Anleitung aufgestöbert und versucht sie zu befolgen, aber aus unerklärlichen Gründen kann ich das Programm nicht starten. Auch umbenennen (*.com) hat nicht geholfen. Ich will im Moment wegen dem laufenden VirenScanner nicht den Computer neu starten...
Weiss jemand Rat? Danke vielmals...

Hallo,

führe dann bitte RSIT aus und lade die zwei entstandenen Logfiles (log.txt und info.txt) bei einem Filehoster wie z.B. bei file-upload.net hoch und poste die Downloadlinks.

mfg

heute Morgen habe ich den Computer neugestartet und jetzt hat es geklappt mit dem HJT. Auch der Spybot lässt sich wieder starten. Die VirusScan "Bei-Zugriff-Scan" Funktion ist auch wieder in Ordnung und sie gibt auch erste Lebenszeichen von sich indem sie Vundo.Gen.k und Vundo.Gen.m je 2 mal in C:\WINDOWS\system32 als .dll Anwendungen findet.

Hier nun das Logfile (Zeitzone ist UTC/GMT -6 hours, noch Sommerzeit also zu Deutschland -6 Stunden):

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:02:47, on 30.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\stsystra.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Network Associates\VirusScan\scan32.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www1.euro.dell.com/content/default.aspx?c=ch&l=de&s=gen
O1 - Hosts: 195.141.71.227 ublch0008 # Prod. Airlock 1 nicht zugreifbar
O1 - Hosts: 195.141.71.228 ublch0009 # Prod. Airlock 2 nicht zugreifbar
O2 - BHO: (no name) - {286043F0-4179-49FA-ABAB-13DECAAA508F} - C:\WINDOWS\system32\qoMeCroP.dll
O2 - BHO: {91d10351-d94f-9a78-b9d4-ded095243bb8} - {8bb34259-0ded-4d9b-87a9-f49d15301d19} - C:\WINDOWS\system32\pxtdlk.dll
O2 - BHO: (no name) - {99C158B9-FA74-4E49-971E-708F37B235D7} - C:\WINDOWS\system32\cbXRLcby.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programme\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s  -f=UpdateVersion.xml -url=hxxp://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PMCS] "C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe"
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - hxxp://kp.bar.need2find.com/KP/menusearch.html?p=KP
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.4.24.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.4.24.0\gears.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - hxxp://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - hxxp://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - hxxp://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - hxxp://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - hxxp://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O20 - AppInit_DLLs: karna.dat pxtdlk.dll
O20 - Winlogon Notify: cbXRLcby - C:\WINDOWS\SYSTEM32\cbXRLcby.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Update Service (gupdate1c936bc92c57d1c) (gupdate1c936bc92c57d1c) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\******~1\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 12958 bytes
         

Ich hoffe mal das ist so in Ordnung.
Vielen dank für eure Antworten!!!

Mit freundlichen Grüssen ABBDVD

PS: eine Frage habe ich noch: Ist es ok, wenn ich VirusScan und Spybot ständig laufen lasse und damit versuche die Viren einzudämmen, oder soll ich die eher auf "Standby" stellen?

Gut,
dann kannst du RSIT weglassen.
So gehts weiter für dich:

1.)
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort reinigen. (Option 2)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)


Edit:

Zitat:

PS: eine Frage habe ich noch: Ist es ok, wenn ich VirusScan und Spybot ständig laufen lasse und damit versuche die Viren einzudämmen, oder soll ich die eher auf "Standby" stellen?

Am besten gleich deinstallieren, die Spielzeugprogrammchen haben keine Wirkung.

ich habe jetzt den SmitfraudFix log leider mit viel Verspätung, da ich zur Schule musste. Ich komme mir dumm vor das zu Frage, aber wie muss ich den log posten?

Zitat:

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Welche Anleitung? Ich konnte keine im Forum finden und die auf der Downloadseite hat zum posten vom log keine Angaben.
Danke vielmals für deine Hilfe Silent sharK!!!

Ich beginne jetzt mal mit 2)

Anleitung steht bei SmitfraudFix dabei, wenn du den Downloadlink anklickst

Ganz genau unter Anwendung:

ich habe das Gefühl ich bin unfähig! Ich habe den rapport ja schon, aber ich finde wirklich unter Anwendung keinen Hinweis wie man die wichtigen Informationen rausnimmt um dann einen kurzen Rapport zu erhalten, den man posten kann.
(Oder ist irgendetwas schief gelaufen, sodass ich einen Rapport habe, der ca. 260kb gross ist mit über 200000 Zeichen?!? Was mir aufgefallen ist, aber ich bis jetzt nicht als wichtig empfunden habe ist, dass bei den aufgezählten Schritten die ausgeführt wurden folgendes kam:

Zitat:

Generic Kenos Fix...
Deleting infected Files...
Das System kann den angegebenen Pfad nicht finden
...

)

Den Log vom CombFix habe ich jetzt:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-10-30.09 - si****-*********** 2008-10-30 16:14:59.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1533 [GMT -5:00]
ausgeführt von:: C:\Dokumente und Einstellungen\si****-***********\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\si****-***********\Cookies\nexu._dl
C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll
C:\Programme\Need2Find
C:\Programme\Need2Find\bar\History\search
C:\WINDOWS\admintxt.txt
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\system32\cbXRLcby.dll
C:\WINDOWS\system32\Drivers\TDSSmxoe.sys
C:\WINDOWS\system32\mtmqsfpw.ini
C:\WINDOWS\system32\PorCeMoq.ini
C:\WINDOWS\system32\PorCeMoq.ini2
C:\WINDOWS\system32\qoMeCroP.dll
C:\WINDOWS\system32\TDSSehys.log
C:\WINDOWS\system32\TDSSmtpe.dat
C:\WINDOWS\system32\TDSSnpur.dll
C:\WINDOWS\system32\TDSSoitu.dll
C:\WINDOWS\system32\TDSSqxgx.dll
C:\WINDOWS\system32\TDSSwkod.log
C:\WINDOWS\system32\uirqdywg.ini
C:\WINDOWS\system32\wini10807.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-28 bis 2008-10-30  ))))))))))))))))))))))))))))))
.

2008-10-30 15:37 . 2008-10-30 15:37	<DIR>	d--------	C:\Programme\CCleaner
2008-10-30 12:57 . 2008-10-30 15:27	6,292	--a------	C:\WINDOWS\system32\tmp.reg
2008-10-29 17:00 . 2008-10-29 17:00	19,324	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xalyhebyd.bat
2008-10-29 17:00 . 2008-10-29 17:00	19,081	--a------	C:\Dokumente und Einstellungen\si****-***********\Anwendungsdaten\owivexivy.bin
2008-10-29 17:00 . 2008-10-29 17:00	18,722	--a------	C:\Dokumente und Einstellungen\si****-***********\Anwendungsdaten\ifus.vbs
2008-10-29 17:00 . 2008-10-29 17:00	18,139	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\otabomaboc.bat
2008-10-29 17:00 . 2008-10-29 17:00	16,736	--a------	C:\WINDOWS\hokinoh.sys
2008-10-29 17:00 . 2008-10-29 17:00	16,666	--a------	C:\WINDOWS\xany.db
2008-10-29 17:00 . 2008-10-29 17:00	16,367	--a------	C:\WINDOWS\syfuwime.reg
2008-10-29 17:00 . 2008-10-29 17:00	16,031	--a------	C:\WINDOWS\lafufiteme._dl
2008-10-29 17:00 . 2008-10-29 17:00	15,731	--a------	C:\WINDOWS\ybafige.dll
2008-10-29 17:00 . 2008-10-29 17:00	15,658	--a------	C:\Dokumente und Einstellungen\si****-***********\Anwendungsdaten\hehugekyh.dll
2008-10-29 17:00 . 2008-10-29 17:00	15,096	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iryxucu.pif
2008-10-29 17:00 . 2008-10-29 17:00	14,406	--a------	C:\Dokumente und Einstellungen\si****-***********\Anwendungsdaten\ygomigel.bat
2008-10-29 17:00 . 2008-10-29 17:00	14,295	--a------	C:\WINDOWS\dujepuc._sy
2008-10-29 17:00 . 2008-10-29 17:00	13,082	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yxekoted.exe
2008-10-29 17:00 . 2008-10-29 17:00	12,796	--a------	C:\WINDOWS\amyfy.lib
2008-10-29 17:00 . 2008-10-29 17:00	12,521	--a------	C:\WINDOWS\system32\opufo.db
2008-10-29 17:00 . 2008-10-29 17:00	12,387	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elogib.reg
2008-10-29 17:00 . 2008-10-29 17:00	12,381	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hekubosu.vbs
2008-10-29 17:00 . 2008-10-29 17:00	12,310	--a------	C:\Dokumente und Einstellungen\si****-***********\Anwendungsdaten\ebuconety.scr
2008-10-29 17:00 . 2008-10-29 17:00	10,996	--a------	C:\WINDOWS\hedobeco.com
2008-10-29 17:00 . 2008-10-29 17:00	10,888	--a------	C:\Programme\Gemeinsame Dateien\ykuruwyr.dll
2008-10-29 17:00 . 2008-10-29 17:00	10,681	--a------	C:\WINDOWS\system32\ykibolipaw.reg
2008-10-29 17:00 . 2008-10-29 17:00	10,551	--a------	C:\WINDOWS\system32\kawifanup.sys
2008-10-28 00:24 . 2008-10-28 00:25	65,416	--a------	C:\WINDOWS\system32\llrjeuvq.dll
2008-10-27 10:17 . 2008-10-27 10:17	56,656	--a------	C:\WINDOWS\system32\xcssldlt.dll
2008-10-27 10:14 . 2008-10-27 10:14	100,456	--a------	C:\WINDOWS\system32\xcfesxcd.dll
2008-10-26 14:00 . 2008-10-30 15:40	<DIR>	d--------	C:\quarantine
2008-10-26 13:59 . 2008-10-26 14:00	65,416	--a------	C:\WINDOWS\system32\mjsfmjte.dll
2008-10-25 12:03 . 2008-10-25 12:03	<DIR>	d--------	C:\Programme\Western Digital
2008-10-23 18:02 . 2008-10-15 11:35	337,408	---------	C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-18 13:05 . 2008-10-18 13:05	<DIR>	d--------	C:\PSFONTS
2008-10-18 13:05 . 2008-10-18 13:07	<DIR>	d--------	C:\Programme\Finale NotePad 2008
2008-10-15 15:31 . 2008-08-14 08:19	2,191,488	---------	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 15:31 . 2008-08-14 08:19	2,147,840	---------	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 15:31 . 2008-08-14 08:19	2,068,352	---------	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 15:31 . 2008-08-14 08:19	2,026,496	---------	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 15:31 . 2008-09-15 10:24	1,846,528	---------	C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-15 15:31 . 2008-09-08 05:41	333,824	---------	C:\WINDOWS\system32\dllcache\srv.sys
2008-09-15 15:54 . 2008-09-15 15:54	<DIR>	d--------	C:\Dokumente und Einstellungen\*Vater*S\Eigene Dateien
2008-09-15 15:54 . 2008-09-15 15:54	<DIR>	d--------	C:\Dokumente und Einstellungen\*Vater*S
2008-09-14 11:13 . 2008-09-14 11:13	<DIR>	d--h-----	C:\WINDOWS\PIF
2008-09-04 23:10 . 2008-09-04 23:10	<DIR>	d--------	C:\Programme\MP4 to MP3 Converter

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-30 21:07	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-29 22:00	17,140	----a-w	C:\Programme\Gemeinsame Dateien\nysero.inf
2008-10-29 16:39	0	----a-w	C:\WINDOWS\system32\drivers\lvuvc.hs
2008-10-29 05:48	90,112	----a-w	C:\WINDOWS\DUMP5d33.tmp
2008-10-27 22:23	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-10-25 16:13	---------	d-----w	C:\Programme\Google
2008-10-21 22:13	---------	d-----w	C:\Dokumente und Einstellungen\si****-***********\Anwendungsdaten\Skype
2008-10-06 20:37	---------	d-----w	C:\Programme\Windows Live Safety Center
2008-09-20 02:40	---------	d-----w	C:\Programme\Zattoo
2008-09-15 22:24	---------	d-----w	C:\Programme\Winamp
2008-09-08 10:41	333,824	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-09-06 01:02	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-01 20:26	---------	d-----w	C:\Dokumente und Einstellungen\si****-***********\Anwendungsdaten\U3
2008-07-07 18:46	127,034	------r	C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
2007-04-01 16:27	83,095,827	----a-w	C:\Programme\CyberLink DVD Solution.zip
2004-08-09 22:30	40,960	----a-w	C:\Programme\Uninstall_CDS.exe
2006-11-30 12:31	56	--sh--r	C:\WINDOWS\system32\1F78D6EDC6.sys
2007-01-22 16:46	8	--sh--r	C:\WINDOWS\system32\52CFBB487D.sys
2007-09-12 07:39	56	--sh--r	C:\WINDOWS\system32\A1A681497B.sys
2006-12-08 13:14	88	--sh--r	C:\WINDOWS\system32\C6EDD6781F.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2008-01-02 103712]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-09 144784]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2006-04-06 1032192]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]
"CTSVolFE.exe"="C:\Programme\Creative\Mixer\CTSVolFE.exe" [2005-02-23 57344]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-06-10 249856]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-06-10 81920]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 233472]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-11-07 188416]
"MSKDetectorExe"="C:\Programme\McAfee\SpamKiller\MSKDetct.exe" [2005-08-12 1121792]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2006-07-24 131072]
"Network Associates Error Reporting Service"="C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 256576]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-06-28 32768]
"PC Suite for Smartphones"="C:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" [2006-07-06 491520]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-05-30 122941]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2008-01-02 103712]
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe" [2007-02-06 252704]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-11 34672]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 C:\WINDOWS\stsystra.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-07-07 67128]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\WS_FTP\\WS_FTP95.exe"=
"C:\\Programme\\Intuwave\\Shared\\mRouterRuntime\\mRouterRuntime.exe"=
"C:\\Programme\\Sony Ericsson\\Mobile4\\Sync Manager\\DXP SyncML.exe"=
"C:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"C:\\Programme\\eclipse\\eclipse.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 zebrceb;Sony Ericsson Cable Emulation Bus (WDM);C:\WINDOWS\system32\DRIVERS\zebrceb.sys [2006-07-25 53408]
S2 gupdate1c936bc92c57d1c;Google Update Service (gupdate1c936bc92c57d1c);C:\Programme\Google\Update\GoogleUpdate.exe [2008-10-25 133104]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-04-12 23552]
S3 USB28xxBGA;PCTV Hybrid Pro* Stick;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-02-08 217216]
S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-02-08 17792]
S3 zebrbus;Sony Ericsson Composite Device driver;C:\WINDOWS\system32\DRIVERS\zebrbus.sys [2007-06-20 66656]
S3 zebrmdfl;Sony Ericsson Modem Filter;C:\WINDOWS\system32\DRIVERS\zebrmdfl.sys [2006-07-25 9264]
S3 zebrmdm;Sony Ericsson Port (WDM);C:\WINDOWS\system32\DRIVERS\zebrmdm.sys [2006-07-25 100640]
S3 zebrmdmc;Sony Ericsson mRouter Port (WDM);C:\WINDOWS\system32\DRIVERS\zebrmdmc.sys [2006-07-25 100672]
S3 zebrsce;Sony Ericsson PC-Connect Port;C:\WINDOWS\system32\DRIVERS\zebrsce.sys [2006-07-25 84960]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##chris#x]
\Shell\AutoRun\command - Z:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a9006d4-a2b6-11dd-b60a-001422f894aa}]
\Shell\AutoRun\command - D:\wdsync.exe

*Newly Created Service* - ENTDRV51
.
Inhalt des "geplante Tasks" Ordners

2008-10-30 C:\WINDOWS\Tasks\GoogleUpdateTaskMachine.job
- C:\Programme\Google\Update\GoogleUpdate.exe [2008-10-25 11:13]

2008-10-03 C:\WINDOWS\Tasks\McAfee.com - Virenscan - Mein Computer (ABOOK-si****-*Vater*).job
- c:\programme\mcafee.com\vso\mcmnhdlr.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{78BD869B-68CF-484E-892D-46AB8542E0F9} - C:\WINDOWS\system32\qoMeCroP.dll
BHO-{99C158B9-FA74-4E49-971E-708F37B235D7} - C:\WINDOWS\system32\cbXRLcby.dll
ShellExecuteHooks-{99C158B9-FA74-4E49-971E-708F37B235D7} - C:\WINDOWS\system32\cbXRLcby.dll


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\si****-***********\Anwendungsdaten\Mozilla\Firefox\Profiles\719akvq4.default\
FF -: plugin - C:\Programme\Google\Update\1.2.131.25\npGoogleOneClick6.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2008-10-30 16:21:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Dell\QuickSet\NicConfigSvc.exe
C:\Programme\Network Associates\Common Framework\naPrdMgr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-30 16:27:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-30 21:27:32

Vor Suchlauf: 2'724'417'536 Bytes frei
Nach Suchlauf: 2,648,932,352 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

256	--- E O F ---	2008-10-24 03:18:12
         

Ich hoffe ich habe das richtig gepostet.
Danke vielmals für Deine (Eure) Auswertungen!!!

PS: übrigens haben bis jetzt Spybot und VirusScan keine Viren gefunden (sie sind aber noch nicht ganz fertig mit scannen...)
Ich glaube der Virus ist *getroffen* und hoffe du kannst bald anstossen statt arbeiten.

Hattest du Probleme mit dem MSN Wurm bzw. auf solchen Link geklickt?

yop. Ich hatte vor etwa 1 1/2 Wochen den Link geklickt (wusste aber nicht, dass das ein Wurm ist und habe bis anhin gedacht es sei ein Trojaner der einfach rein gekommen ist).

Edit: Das ist schon diese Meldung die angeblich zu einem Video führen sollte, oder?

Das ist schlecht.
Daraus resultiert eine Technische Kompromittierung und du kannst mit dem Gedanken leben, Mitglied in einem sog. Botnetz zu sein, was wiederrum strafbar ist.
Deshalb würde ich ein Neuaufsetzen in Betracht ziehen, sowie die Änderung sämtlicher Passwörter und Zugangsdaten von einem sauberen Rechner aus.

da mein Computer ganz langsam arbeitete (stocken in Zeitlupe schreibt, Fenster öffnet...), habe ich den TaskManager geöffnet. Im Moment sollte eigentlich ausser dem Firefox nur der VirusScan scannen. Die CPU-Auslastung ist aber fast die ganze Zeit auf 100% und bei den Prozessen wird das den folgenden Prozessen zugeordnet:
scan32.exe (ca. zwischen 5 und 40%)
LVPrcSrv.exe (ständig um die 50%)

ist es möglich, dass einer der Prozesse von dem Virus ist? Ist es möglich herauszufinden, wozu die Prozesse gehören?
Danke für Deine Hilfe!

Noch Fragen schon im voraus zur Datensicherung: Falls ich das System Neuaufsetzen muss, kann ich ein komplettes Backup auf einer externen Harddisk machen, oder ist es gefährlich, da ich den Virus oder was auch immer noch übrig ist mitkopiere und dann auf dem neuen System auch ist? Laufe ich in Gefahr die externe Harddisk zu infizieren, wenn ich Dateien auf sie kopiere?

Mein Computer istwährend dem Speichern der letzten Antwort stecken geblieben ist, dachte ich müsste nochmals alles schreiben... (habe es jetzt rausgelöscht...)

Ich schalte meinen Computer aus und kontrolliere von einem anderen Computer aus deine Antwort.

Wenn du Daten sichern willst, dann nur Bilder, Musikdateien und Textdokumente.
Keine Executables!