So.

Es kommt gleich noch RSIT und GMER.
Ich konnte übrigens bei HijackThis nicht die beiden Sachen fixen:

O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"
O4 - Startup: imiupd32.exe

standen nicht in der Liste, ist das schlimm ?!


Weiterhin sagt er beim Start des PC zB.
das meine Netgear-Software die für den Internetzugang da ist, ein Problem festgestellt hat. Das kam auch als ich Malware starten wollte (das ging aber trotzdem).

Hab übrigens seit einer Woche das "Problem" das ständig (das heisst alle 30minuten) die ansage kommt "Google.exe hat ein Problem festgestellt"
Mit dem typischen "bericht senden". Allerdings habe ich die vermutung das eine art von "virus" ist. und nichts mit einen wirklichen Problem zutun hat. Schliesslich öffne ich nichts. Aber wenn du weißt wie man das fixen kann, wäre es gut, weil es beim Film gucken schon nervt.

So jetzt kommt nocht RSIT und GMER.

So einmal den Gmer Log :

http://www.file-upload.net/download-1739815/gmer.log.html

und den RSIT Log :

http://www.file-upload.net/download-1739819/log.txt.html



Hoffe das geht so, weil ich das sonst sehr aufwendig finde hier immer zu trennen und für dich unübersichtlich alles rauszukopieren.

Danke für die Hilfe

ok, ich meld mich gleich nochmal.

lg myrtille

Hi,

ja, die Logs als ganzes sind doch einfacher zu handhaben. Uploaden ist gut. :) Ansonsten kannst du die Dateien auch einfach an dein Post anhängen. ;)

Es ist durchaus normal, dass einige der Einträge durch die vorher dur chgeführten Bereinigungen nicht mehr vorhanden sind.

Hast du dein Antivirenprogramm deinstalliert? Ich seh keine Spur mehr von PCTools Antivirus?
(Wenn ja würde ich dir empfehlen, dass du dir ein neues zulegst. Antivir und Avast! bieten zwei gute kostenlose Antivirenprogramme an: avira und avast!


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Weißt du zufällig noch was du Donnerstag morgen um halbe sieben gemacht hast?

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Im nächsten Post bitte die Ergebnisse von Virustotal, sowie Combofix und ein neues gmer log anhängen.
(für das gmer log bitte vorher alle offenen Programme schließen)

lg myrtille

Datei fuclr.exe empfangen 2009.07.03 19:29:42 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 11/41 (26.83%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.07.03 -
AhnLab-V3 5.0.0.2 2009.07.03 -
AntiVir 7.9.0.204 2009.07.03 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.1 2009.07.03 -
Authentium 5.1.2.4 2009.07.02 -
Avast 4.8.1335.0 2009.07.03 -
AVG 8.5.0.386 2009.07.03 Downloader.Generic8.AYJU
BitDefender 7.2 2009.07.03 -
CAT-QuickHeal 10.00 2009.07.03 Trojan.Agent.ATV
ClamAV 0.94.1 2009.07.03 -
Comodo 1538 2009.07.02 -
DrWeb 5.0.0.12182 2009.07.03 -
eSafe 7.0.17.0 2009.07.02 Suspicious File
eTrust-Vet 31.6.6596 2009.07.03 -
F-Prot 4.4.4.56 2009.07.02 -
F-Secure 8.0.14470.0 2009.07.03 -
Fortinet 3.117.0.0 2009.07.03 -
GData 19 2009.07.03 -
Ikarus T3.1.1.64.0 2009.07.03 -
Jiangmin 11.0.706 2009.07.03 -
K7AntiVirus 7.10.783 2009.07.03 -
Kaspersky 7.0.0.125 2009.07.03 -
McAfee 5665 2009.07.03 Downloader-BQZ
McAfee+Artemis 5665 2009.07.03 Downloader-BQZ
McAfee-GW-Edition 6.8.5 2009.07.03 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4803 2009.07.03 TrojanSpy:Win32/Bebloh.A
NOD32 4214 2009.07.03 -
Norman 6.01.09 2009.07.03 W32/DLoader.POEA
nProtect 2009.1.8.0 2009.07.03 -
Panda 10.0.0.14 2009.07.03 -
PCTools 4.4.2.0 2009.07.03 -
Prevx 3.0 2009.07.03 High Risk Cloaked Malware
Rising 21.36.44.00 2009.07.03 -
Sophos 4.43.0 2009.07.03 Mal/EncPk-IR
Sunbelt 3.2.1858.2 2009.07.02 -
Symantec 1.4.4.12 2009.07.03 -
TheHacker 6.3.4.3.360 2009.07.03 -
TrendMicro 8.950.0.1094 2009.07.03 -
VBA32 3.12.10.7 2009.07.03 -
ViRobot 2009.7.3.1818 2009.07.03 -
VirusBuster 4.6.5.0 2009.07.03 -


weitere Informationen
File size: 49905 bytes
MD5...: fb431bc653c44cd766bbf1aa51bd34d2
SHA1..: dfc0eb63934ddc3b8fb4cc358a3238f6557fafaa
SHA256: 541f62d1b7efd509c4470630d871960a7f338dafa1cb984f8d01a5e8afa24fa5
ssdeep: 768:tYOD96QFK01X4YBUMj8ERcOMQ1NhprMnJBz+1/3Z8unhtlrLqHx1BCc8n9EB
66X:yODUs1rBUI0OMglonrA/nnP1Isc8ek6X
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa4b1
timedatestamp.....: 0x47d1a726 (Fri Mar 07 20:35:50 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x98b1 0x9a00 7.94 9f82db1b426e7ce0ce98ff4344ca8664
.rdata 0xb000 0x1cf1 0x1e00 7.32 f1933d27973a7c9965cfaf743de3f35f
.data 0xd000 0x610c5 0x600 6.12 939a68dc40e39873003f904c8d2a5470

( 3 imports )
> MSVCRT.dll: _wfullpath, fgets, strtoul, atoi, _adjust_fdiv, sprintf, strlen, strncmp
> KERNEL32.dll: GetTickCount, lstrcpynA, GetLastError, Sleep, FormatMessageA, GetCommandLineA, GetCurrentThreadId, GetSystemTimeAsFileTime, GetModuleHandleA, ExitProcess, CreateMailslotW, OpenProfileUserMapping, LCMapStringA, ReadConsoleOutputAttribute, GlobalSize
> ole32.dll: CoTaskMemRealloc, CoRegisterPSClsid, OleQueryCreateFromData, CoRegisterClassObject, CoIsHandlerConnected

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=BDC594E8F10B6A06C23400B7AD317100B826615F' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=BDC594E8F10B6A06C23400B7AD317100B826615F</a>

Datei wkoypl.exe empfangen 2009.07.03 19:42:12 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 11/41 (26.83%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.07.03 -
AhnLab-V3 5.0.0.2 2009.07.03 -
AntiVir 7.9.0.204 2009.07.03 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.1 2009.07.03 -
Authentium 5.1.2.4 2009.07.03 -
Avast 4.8.1335.0 2009.07.03 -
AVG 8.5.0.386 2009.07.03 Downloader.Generic8.AYJU
BitDefender 7.2 2009.07.03 -
CAT-QuickHeal 10.00 2009.07.03 Trojan.Agent.ATV
ClamAV 0.94.1 2009.07.03 -
Comodo 1538 2009.07.02 -
DrWeb 5.0.0.12182 2009.07.03 -
eSafe 7.0.17.0 2009.07.02 Suspicious File
eTrust-Vet 31.6.6596 2009.07.03 -
F-Prot 4.4.4.56 2009.07.03 -
F-Secure 8.0.14470.0 2009.07.03 -
Fortinet 3.117.0.0 2009.07.03 -
GData 19 2009.07.03 -
Ikarus T3.1.1.64.0 2009.07.03 -
Jiangmin 11.0.706 2009.07.03 -
K7AntiVirus 7.10.783 2009.07.03 -
Kaspersky 7.0.0.125 2009.07.03 -
McAfee 5665 2009.07.03 Downloader-BQZ
McAfee+Artemis 5665 2009.07.03 Downloader-BQZ
McAfee-GW-Edition 6.8.5 2009.07.03 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4803 2009.07.03 TrojanSpy:Win32/Bebloh.A
NOD32 4214 2009.07.03 -
Norman 6.01.09 2009.07.03 W32/DLoader.POEA
nProtect 2009.1.8.0 2009.07.03 -
Panda 10.0.0.14 2009.07.03 -
PCTools 4.4.2.0 2009.07.03 -
Prevx 3.0 2009.07.03 High Risk Cloaked Malware
Rising 21.36.44.00 2009.07.03 -
Sophos 4.43.0 2009.07.03 Mal/EncPk-IR
Sunbelt 3.2.1858.2 2009.07.02 -
Symantec 1.4.4.12 2009.07.03 -
TheHacker 6.3.4.3.360 2009.07.03 -
TrendMicro 8.950.0.1094 2009.07.03 -
VBA32 3.12.10.7 2009.07.03 -
ViRobot 2009.7.3.1818 2009.07.03 -
VirusBuster 4.6.5.0 2009.07.03 -


weitere Informationen
File size: 49905 bytes
MD5...: 24327e8a3ad796e3f0f5a7b96d78563b
SHA1..: b340e066eb6856f8563d2eb911f726fe9aab8b00
SHA256: dc52725dbb134efcb63b2d72ebf2b8ff6efe0f0e221888e2ebec2cbbf9553e90
ssdeep: 768:tYOD96QFK01X4YBUMj8ERcOMQ1NhprMnJBz+1/3Z8unhtlrLqHx1BCc8n9EB
667:yODUs1rBUI0OMglonrA/nnP1Isc8ek67
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa4b1
timedatestamp.....: 0x47d1a726 (Fri Mar 07 20:35:50 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x98b1 0x9a00 7.94 9f82db1b426e7ce0ce98ff4344ca8664
.rdata 0xb000 0x1cf1 0x1e00 7.32 f1933d27973a7c9965cfaf743de3f35f
.data 0xd000 0x610c5 0x600 6.12 939a68dc40e39873003f904c8d2a5470

( 3 imports )
> MSVCRT.dll: _wfullpath, fgets, strtoul, atoi, _adjust_fdiv, sprintf, strlen, strncmp
> KERNEL32.dll: GetTickCount, lstrcpynA, GetLastError, Sleep, FormatMessageA, GetCommandLineA, GetCurrentThreadId, GetSystemTimeAsFileTime, GetModuleHandleA, ExitProcess, CreateMailslotW, OpenProfileUserMapping, LCMapStringA, ReadConsoleOutputAttribute, GlobalSize
> ole32.dll: CoTaskMemRealloc, CoRegisterPSClsid, OleQueryCreateFromData, CoRegisterClassObject, CoIsHandlerConnected

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=BDC594E8F10B6A06C23400B7AD31710045807C29' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=BDC594E8F10B6A06C23400B7AD31710045807C29</a>

Hi,

dann lösche diese beiden Dateien bitte auch.

Falls du Combofix mit dem alten Skript noch nicht ausgeführt hattest, dann nimm bitte einfach folgendes Skript:
Wenn du das Skript bereits ausgeführt hast, dann poste bitte das Combofix log.

lg myrtille