Hi,

Bitte folgende Files prüfen (Pfade anpassen!):

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\users\***\appdata\local\ksmiw.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Am Besten auch MAM installieren und mal laufen lassen...

chris

es gibt keine gefahr für meinen laptop, wenn er zum gliechen router verbunden ist, wie der infizierte pc, oder?
ich kann ihn also wieder anschließen? hab ihn nämlich in der zwischenzeit vom netz genommen, sicher ist sicher

Anti-malware läuft immer noch - erst ca. 78000 dokumnete gescannt - 2 infizierte dateien bis jetzt.

und vielen dank für deine hilfe, ich hoffe wir bekommen das so hin!!!

Bei der kritischen Masse die sich auf dieser Kiste tummelt ist eine Neuinstallation sehr viel angeratener als alles andere !!
Es sein denn der Rechner soll nur noch für Daddelspiele ohne Internetanbindung eingesetzt werden.
Bei Internetbanking ,EBayeinkäufen oder alles andere was einen (geheimen) Login verlangt,würden mir vor Angst die Hosen flattern....
Da kannst du soviele Tools laufen lassen wie du willst....
was bleibt ist bestenfalls ein höchst fragwürdiger Zustand.
Ein vertrauenswürdiger Zustand wird das nie wieder ohne Neuinstallation !!!
Rex

Zitat:

Zitat von Rex Fatuorum

Bei der kritischen Masse die sich auf dieser Kiste tummelt ist eine Neunstallation sehr viel angeratener als alles andere !!
Es sein denn der Rechner soll nur noch für Daddelspiele ohne Internetanbindung eingesetzt werden.
Bei Internetbanking ,EBayeinkäufen oder alles andere was einen geheimen Login verlangt ,würden mir vor Angst die Hosen flattern....
Da kannst du soviele Tools laufen lassen wie du willst....
was bleibt ist bestenfalls ein höchst fragwürdiger Zustand.
Ein vertrauenswürdiger Zustand wird das nie wieder ohne Neuinstalltion !!!
Rex

hmm ja hatte ich auch schon überlegt ... wären denn ALLE unerwünschten dateien weg, wenn ich das system neu aufsetzte?
da der rechner doch schon etwas älter ist und wir alle laptops haben, wäre das nicht so schlimm, wollt ihn nur ein bisschen auftunen und dann nur noch drauf spielen. netbanking etc. mach ich nur vom laptop aus - nicht von diesem pc!


aber bitte, bitte, helft mir doch: besteht für die anderen pc, die am gleichen router angeschlossen sind, gefahr infiziert zu werden? nur via wireless connection??

@LizzyZizzy
Doch, es besteht eine Gefahr, wenn der Rechner über freigegebene Verzeichnisse/Laufwerke verfügt. Darüber ist per autorun.inf eine Verbreitung möglich und wird auch aktiv ausgenutzt.

@Rex Fatuorum
Mal sehen was so alles gefunden wird, prinzipiell hast Du recht...

chris

Zitat:

Zitat von Chris4You

@LizzyZizzy
Doch, es besteht eine Gefahr, wenn der Rechner über freigegebene Verzeichnisse/Laufwerke verfügt. Darüber ist per autorun.inf eine Verbreitung möglich und wird auch aktiv ausgenutzt.

@Rex Fatuorum
Mal sehen was so alles gefunden wird, prinzipiell hast Du recht...

chris

ich habe keine freigegeben verzeichnisse&laufwerke - es besteht also keine gefahr?

der scan Anti-Malware läuft immer noch ...

wenn ich den desktop pc vom internet trenne, also den usb adapter rausziehe, dann besteht aber keine gefahr mehr, oder? ich meine, dann ist er zwar verseucht, aber ohne connection nützt das ja nicht viel.

Zitat:

Finde ich etwas unfair wenn du jemanden die Zeit stiehlst um deine eigene Neugier zu füttern...

huh?? meinst du mich??

Zitat:

wären denn ALLE unerwünschten dateien weg, wenn ich das system neu aufsetzte?

Sofern du es richtig machst,der Anleitung folgend, ist alles weg.
Deswegen heißt es ja neu aufsetzen.....

Zitat:

besteht für die anderen pc, die am gleichen router angeschlossen sind, gefahr infiziert zu werden? nur via wireless connection??

Theoretisch schon...
Aber eher wirst du die Seuche durch den Tausch von Dateien weiter tragen.Sei es ob du über LAN zugreifst oder altmodisch mit einer CD von Rechner zu Rechner turnst..
@
chris4you
Finde ich etwas unfair wenn du jemanden die Zeit stiehlst um deine eigene Neugier zu füttern...
Rex

Zitat:

Zitat von Chris4You

Hi,

Bitte folgende Files prüfen (Pfade anpassen!):

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

c:\users\***\appdata\local\ksmiw.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Am Besten auch MAM installieren und mal laufen lassen...

chris

er findet die datei nicht ... weder im order appdata noch wenn ich einfach nur nach ihr suche ...

Hi,

hast du die *** gegen den richtigen Pfad ersetzt, dann kannst Du den ganzen Pfad mit Dateiname gleich in das Feld bei Virustotal kopieren und musst nicht suchen (wenn es sich versteckt, findest Du es so nicht);

Ansonsten wirklich MAM loslassen...

Wenn der verseuchte Rechner vom Netz getrennt wird, ist das OK;
Wenn Du dann allerdings Daten per USB zu dem verseuchten Rechner transportierst, musst Du den Stick schreibschüzten (manche Sticks (bsonderst solche die eine SD-Karte intern verwenden)) können mit einem Schieber schreibgeschützt werden. Dann kann sich der Trojaner nicht über den Stick verbreiten...

Und mit Zeit stehlen meint er mich, weil ich Dich nicht gleich den Rechner neu aufsetzten lasse, sondern erst mal prüfen will was alles so rumfleucht...
)...

chris

Zitat:

Hi,

hast du die *** gegen den richtigen Pfad ersetzt, dann kannst Du den ganzen Pfad mit Dateiname gleich in das Feld bei Virustotal kopieren und musst nicht suchen (wenn es sich versteckt, findest Du es so nicht);

ja hab ich beides gemacht - ohne erfolglos - ich bekomm nur diese meldung von virustotal:

Zitat:

0 bytes size received / Se ha recibido un archivo vacio

Zitat:

Ansonsten wirklich MAM loslassen...

der quickscan hat nichts egbene, alles sauber, aber ich lass grad zu sicherheit noch den vollständigen laufen.

Wenn der verseuchte Rechner vom Netz getrennt wird, ist das OK;

Zitat:

Wenn Du dann allerdings Daten per USB zu dem verseuchten Rechner transportierst, musst Du den Stick schreibschüzten (manche Sticks (bsonderst solche die eine SD-Karte intern verwenden)) können mit einem Schieber schreibgeschützt werden. Dann kann sich der Trojaner nicht über den Stick verbreiten...

lol - na super - hab meinen schönen 4 gb usb stick gestern an den verseuchten rechner angeschlossen, ist der jetzt auch verseucht??
ist ein "scan disk" U3 cruzer - hat leider kein "schieber" - was nun?
soll ic ihn an den verseuchten pc anschließen und manuell schreibschützen dann mit nem antivirus programm checken und erst dann wieder and den laptop anschließen?

Zitat:

Und mit Zeit stehlen meint er mich, weil ich Dich nicht gleich den Rechner neu aufsetzten lasse, sondern erst mal prüfen will was alles so rumfleucht...
)...

achso, also um ehrlich zu sein, bin ich eher ein freund von entfernen als von "neu aufsetzten" - hab eigentlich keine lust xp neu zu installieren ... vorallem da ich gar keine cd habe nur so ne recovery cd von fujitsu siemens die es noch zu unserem anderen laptop dazu gabe ... oder ist das ne vollwertige installatuions cd die auch mit einem anderen pc funktioniert?

lg

so sieht mein logfile nun nach anti-malwar aus; habe alle entfernen lassen.
bei 4-5 meinte er ich müsse neu starten damit er sie entfernen kann, dies hab ch gemacht.

danach konnt ich wieder auf "c" zugreifen und auch die registry konnte ich öffnen, so konnte ich 3wplayer und trojan.vundo aus der registry entfernen.
spy hunter zeigt im moment nichts mehr an.

hier das log file:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:59, on 2009.01.28.
Platform: Windows XP Szervizcsomag 2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Adssite Toolbar - {41C29B07-6F91-4966-91BE-2E2841643C83} - C:\Program Files\Adssite Advanced Toolbar\toolbar.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [memo site kind that] C:\Documents and Settings\All Users\Application Data\Grid Blue Memo Site\Lite Regs.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HELYI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HÁLÓZATI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233098348981
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5672 bytes
         

zumindest scheint die server umleitung behoben zu sein.
aber sauber ist der pc noch nicht, oder?
soll ich compfix noch durchlaufen lassen?

ich werd verrückt: möchte nun endlich combofix laufen lassen, aber ich bekomm immer ne fehlemeldung, dass avira antivir noch läuft, dabei habe ich die prozesse eigebtlich beendet. den avguard.exe den sched.exe(?) und noch den dritten.
musste dafür in der konfiguration auch etwas ändern, da sich die prozesse zuerst nicht beenden ließen. nun sehe ich keinen avira prozess mehr im task manager aber combofix zeigt mir trotzdem noch an, dass ich sie beenden soll, da sie eine gehafr darstellen würden.
ahm ja super - nur WIE????

Hi,

das MAM-Log wäre wichtig, was alles entfernt worden ist...
Das mit combofix läuft mir hier zum ersten mal über den Weg..

chris