Ich habe mir gestern all dies hier eingefangen beim cybern maybe:






eqysp.exe
rqysp.dll

hvsyfojy local\oxakdmwmn\kqkppcutssd.exe




Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QBCZV3UG\sjnvpnidk[1].htm
Status: Infiziert
Quarantäne-Objekt: 48fee713.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Enthält verdächtigen Code: HEUR/Crypted.E
Datum/Uhrzeit: 27.07.2010, 04:34


Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Temp\acgpuwna.exe
Status: Infiziert
Quarantäne-Objekt: 5060c8bd.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw
Datum/Uhrzeit: 27.07.2010, 04:34


Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZMDSAY4B\kofmhoahpk[1].htm
Status: Infiziert
Quarantäne-Objekt: 023e9259.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw
Datum/Uhrzeit: 27.07.2010, 04:34


Typ: Datei
Quelle: C:\Windows\System32\eqysp.exe
Status: Infiziert
Quarantäne-Objekt: 5783cd54.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/Agent.40581
Datum/Uhrzeit: 27.07.2010, 04:24


Typ: Datei
Quelle: C:\Windows\System32\rqysp.dll
Status: Infiziert
Quarantäne-Objekt: 4f14e2ff.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/BHO.294912
Datum/Uhrzeit: 27.07.2010, 04:24


Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Temp\acgpuwna.exe
Status: Infiziert
Quarantäne-Objekt: 026a97fc.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw
Datum/Uhrzeit: 27.07.2010, 04:23


Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZMDSAY4B\kofmhoahpk[1].htm
Status: Infiziert
Quarantäne-Objekt: 5034cd08.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw
Datum/Uhrzeit: 27.07.2010, 04:23


Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZMDSAY4B\sjnvpnidk[1].htm
Status: Infiziert
Quarantäne-Objekt: 48abe2b4.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Enthält verdächtigen Code: HEUR/Crypted.E
Datum/Uhrzeit: 27.07.2010, 04:23


Typ: Datei
Quelle: C:\Windows\System32\eqysp.exe
Status: Infiziert
Quarantäne-Objekt: 578ab65d.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/Agent.40581
Datum/Uhrzeit: 27.07.2010, 03:37


Typ: Datei
Quelle: C:\Windows\System32\rqysp.dll
Status: Infiziert
Quarantäne-Objekt: 4f1d9986.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/BHO.294912
Datum/Uhrzeit: 27.07.2010, 03:37


Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FXMS4G5K\sjnvpnidk[1].htm
Status: Infiziert
Quarantäne-Objekt: 48bc99a8.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Enthält verdächtigen Code: HEUR/Crypted.E
Datum/Uhrzeit: 27.07.2010, 03:36


Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZMDSAY4B\kofmhoahpk[1].htm
Status: Infiziert
Quarantäne-Objekt: 027cecec.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw
Datum/Uhrzeit: 27.07.2010, 03:36


Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Temp\vcgl.exe
Status: Infiziert
Quarantäne-Objekt: 5022b610.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/Ransom.XBlocker.avw
Datum/Uhrzeit: 27.07.2010, 03:36


Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Temp\awoenmscrx.exe
Status: Infiziert
Quarantäne-Objekt: 48b099b0.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.26
Virendefinitionsdatei: 7.10.09.193
Meldung: Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Datum/Uhrzeit: 27.07.2010, 03:36


Typ: Datei
Quelle: C:\Users\Reece\AppData\Local\Mozilla\Firefox\Profiles\ketz5dbw.default\Cache\38B83725d01
Status: Infiziert
Quarantäne-Objekt: 48df933e.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows 2000/XP/VISTA Workstation
Suchengine: 8.02.04.02
Virendefinitionsdatei: 7.10.08.237
Meldung: Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FlashFrame.Gen
Datum/Uhrzeit: 15.07.2010, 18:05














Wenn der Internetzugang da ist laden Sie sich alle von selbst wieder auf den Rechner. Vom Netz abgeklemmt habe ich versch. Antivir Tools laufen lassen und konnte alles entfernen.
Jetzt im Moment funktioniert wieder alles (auch mit Internetzugang) aber mal sehen wie lange das so bleibt...formatieren wird mir denke ich nicht erspart bleiben.
Ich lasse gleich noch kasperskyonlinescan laufen und CCleaner.

Ein Überbleibsel, dass ich nicht entfernen konnte ist zb. diese Datei:

zhchwf.sys

[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\Windows\System32\drivers\zhchwf.sys
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht.

Google liefert keine Ergebnisse dazu.
Jemand ne Idee?

Zitat:

beim cybern maybe:

"Cybern Maybe" bitte so beschreiben, dass auch andere das verstehen.

Kaspersky hat nichts mehr gefunden. Es sieht aus als habe ich Sie erfolgreich von der Platte gedrängt. Dabei habe ich nur antivir und Malwarebyte benützt.
Sorgfältig alles aus der msconfig gelöscht und aus der registry.
Alles im abgesicherten Modus und was auch wichtig war glaube ich direkt den lanStecker ziehen als es losging.

Hier die Log von Kaspersky:
J ist eine kleine shuttle fesptlatte die ich von der Arbeit mitgenommen habe. Das die so verseucht ist, ist allein shcon erstaunlich. Aber der Wurm der bei mir auf der hdd war ist nicht dabei. Sehr strange alles.

D:\Programme\Blocklist Manager\Tools\ipscan.exe Infected: not-a-virus:NetTool.Win32.Portscan.c 1
J:\System Volume Information\_restore{FA17647F-6BCE-4197-8DD0-7A527E8E0679}\RP39\A0002650.exe Infected: Worm.Win32.VB.ads 1
J:\Recycled\INFO.EXE Infected: Worm.Win32.VB.ads 1
J:\Recycled\Df149\RP72\A0005473.exe Infected: Worm.Win32.AutoRun.fqs 1
J:\Recycled\Df152\RP5\A0007376.inf Infected: Worm.Win32.VB.fp 1
J:\Recycled\Df152\RP5\A0007382.EXE Infected: Worm.Win32.VB.ads 1
J:\Recycled\Df152\RP5\A0007411.inf Infected: Worm.Win32.VB.fp 1

Du hast noch nicht erklärt was "cybern maybe" bedeuten soll.

Ey junge du nervst. Was machst du eigentlich hier? Ich meine ausser den Leuten zu sagen sie sollen dir 1000 logs schicken damit du drin rumschnüffeln kannst?

Wenn du was nützliches tun willst finde raus was es mit dieser dubiosen file
"zhchwf.sys" auf sich hat.

[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\Windows\System32\drivers\zhchwf.sys
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht.

Zu windows gehört die jedenfalls nicht.

Zitat:

Ey junge du nervst. Was machst du eigentlich hier? Ich meine ausser den Leuten zu sagen sie sollen dir 1000 logs schicken damit du drin rumschnüffeln kannst?

So, ich nerve?! Such Dir eienn anderen Deppen, aber ich glaube kaum, dass Du noch Hilfe bekommst!

Zitat:

Zitat von cosinus

So, ich nerve?! Such Dir eienn anderen Deppen, aber ich glaube kaum, dass Du noch Hilfe bekommst!

Hör auf dein Leben mit dilettantischen Forenposts in einem trojaner-board zu verschwenden. Du hilfst niemandem damit. Und such dir ne freundin.

Also für alle mit demselben Problemen (Nein nicht das mit der Freundin, der Trojaner...):
Die file zhchwf.sys ist ein Rootkit.
Eigentlich sind Rootkits sehr schwer zu entfernen. Sicherer wäre es zu formatieren.
Was für Rootkits auf dem Rehcner laufen kannman mit einem Rootkit Revealer herausfinden. Einfach mal nach Googlen.
Um Systemdateien unter Win7 /Vista wegzubekommen - wie eben die file zhchwf.sys müsste man etwas an Windows basteln, siehe hier
hxxp://www.wintotal.de/tipparchiv/?id=1325

oder Mit einer Linux Sartcd booten und von dort aus löschen.
zweiteres habe ich angewandt und bin wieder glücklich. Alles restlos von der Platte.

Zitat:

Hör auf dein Leben mit dilettantischen Forenposts in einem trojaner-board zu verschwenden. Du hilfst niemandem damit. Und such dir ne freundin.

Dich haben die wohl mit dem Klammerbeutel gepudert. Vllt reagiert man mit Überheblichkeit und Arroganz, wie Du es gerade tust, wenn der Neid aus den Poren trieft. Nennst meine Postings "dilettantisch" bist aber selber nicht in der Lage auf meine Fragen einzugehen.

Und woher willst Du wissen, dass ich keine Freundin hätte oder hat da Dein IQ knapp über Raumtemperatur was zusammengeponnen?

Zitat:

wie eben die file zhchwf.sys müsste man etwas an Windows basteln

oder einfach ma Ahnung haben

Zitat:

Also für alle mit demselben Problemen (Nein nicht das mit der Freundin, der Trojaner...):

Bitte alle die genau die Datei "zhchwf.sys" am System haben, macht es wie er.
ich sag jetzt nur ma <random>.sys und ist einmal ein Trojaner und einmal ein Rootkit.

Rootkits machen was ganz tolles, sie verstecken nicht nur sich selbst sondern auch andere "Freunde".

Aber ich lass dich jetzt mal in dem Glauben das Du der Beste bist und wir hier alles Idioten.

Und nein, ich hab keine Freundin, ich bin Leistungssportler (um das gleich mal vorweg zu nehmen)

Zitat:

Zitat von Larusso

oder einfach ma Ahnung haben


Bitte alle die genau die Datei "zhchwf.sys" am System haben, macht es wie er.
ich sag jetzt nur ma <random>.sys und ist einmal ein Trojaner und einmal ein Rootkit.

Rootkits machen was ganz tolles, sie verstecken nicht nur sich selbst sondern auch andere "Freunde".

Aber ich lass dich jetzt mal in dem Glauben das Du der Beste bist und wir hier alles Idioten.

Und nein, ich hab keine Freundin, ich bin Leistungssportler (um das gleich mal vorweg zu nehmen)

Sag ich doch. Idioten ohne Freundin.
Punkt hier auch wieder: Rootkit revealer. Damit erkennt man ob das Rootkit schadhaft ist oder nicht.

Zitat:

Punkt hier auch wieder: Rootkit revealer. Damit erkennt man ob das Rootkit schadhaft ist oder nicht.

Wow, Du hast ja echt Ahnung
Nur wieso fragst Du hier überhaupt nach wenn Du der allerbestetollste mit 3 Weibern bist?

Zitat:

Ey junge du nervst. Was machst du eigentlich hier?

Zitat:

Wenn du was nützliches tun willst finde raus was es mit dieser dubiosen file
"zhchwf.sys" auf sich hat.

Zitat:

Sag ich doch. Idioten ohne Freundin.

Ich möchte gar nicht wissen, welche 2 falschen Drähte in deinem Schädel sich da berühren... ich sag nur:

Ciao, du kommst auch ohne uns ja prima zurecht