Trojaner-Board - Laptop langsam, Virenmeldungen Hilfe!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Laptop langsam, Virenmeldungen Hilfe!!! (https://www.trojaner-board.de/44632-laptop-langsam-virenmeldungen-hilfe.html)

Bei beiden Dateien kommt diese Meldung.
0 bytes size received / Se ha recibido un archivo vacio

Edit: Wenn ich die Dateien Suche werden sie nicht gefunden

Hier ist ein log von escan:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.6
Sprache: English
Virus Database Date: 10/16/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: No Action Taken.
System found infected with lop.com Spyware/Adware (backup.reg)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken.
Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
File C:\System Volume Information\_restore{C1470C18-E445-4490-9A01-C5F2D5D880B7}\RP123\A0046239.exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\backup.reg
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{89550b0f-a80c-11db-8e0d-00197d196713} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Gemeinsame Dateien\aol\System Information\sysres.dll not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 7
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 347
Time Elapsed: 00:41:57
Total Objects Scanned: 74190
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 18:32:14,98
Batchende: 18:32:26,48

Okay, dann versuch die beiden Dateien zu dem altbekannten Avenger zu löschen, nur kopier diesmal als manuelles scriptfile über die Lupe rein:

Code:

files to delete:

C:\zip.exe

C:\WINDOWS\system32\drivers\rimpyvjv.sys

Poste wieder das avenger.txt file.
Falls noch nicht gemacht: Folge der Anleitung zur Entfernung von Zlob/Smitfraud, da du ja die Zlob-typischen Meldungen hast.
Mach auch mal ein ausführliches filelist mit Hilfe dieses scripts - speicher es per Rechtsklick auf dem Desktop ab und führ es mit einem Doppelklick aus. Nach kurzer Zeit öffnet sich der Texteditor - das ist normal. Auf dem Desktop sollte sich dann eine "listing.txt" befinden. Lad die z.B. mal bei rapidshare hoch und verlink das hier, denn das Logfile ist zu groß fürs TB.

Hier ist schon mal der log von avenger:

Code:

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\nsvkjibi
 

*******************
 

Script file located at: \??\C:\axsjnpwl.txt

Script file opened successfully.
 

Script file read successfully
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

File C:\zip.exe deleted successfully.
 
 

File C:\WINDOWS\system32\drivers\rimpyvjv.sys not found!

Deletion of file C:\WINDOWS\system32\drivers\rimpyvjv.sys failed!
 

Could not process line:

C:\WINDOWS\system32\drivers\rimpyvjv.sys

Status: 0xc0000034
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Und hier der Link zur listing Datei:
RapidShare: 1-Click Webhosting

Das listing.txt solltest du verlinken, nicht das avenger-Logfile.

Oh, sorry
hier der richtige Link:
Listing-Log

Dein System ist ziemlich dichtgepflastert mit irgendwelchen Schädlingsdateien. Unmöglich zu sagen, was da wirklich noch Müll ist und was legitime Dateien sind - jedenfalls das einimaßer vernünftig zu bestimmen wäre extrem aufwendig.

Wenn du auf Sicherheit wert legst, solltest du das System neu aufsetzen.
Sieh es positiv, aus zweierlei Gründen:

1. Dein System ist danach in einem definiertem Zustand => vertrauenswürdig!
2. Du entfernst Altlasten bzw. Dateileichen.

Ok,
werd ich machen.
Und nochmal danke das du dich so bemüht hast.
Das ist echt nett von dir.

Noch was:
Ich habe unter windows system 32 eine seltsame datei gefunden
sie heist catchme.exe
ich habe sie bei virustotal mal auswerten lassen:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.18.0 2007.10.17 -
AntiVir 7.6.0.23 2007.10.17 -
Authentium 4.93.8 2007.10.17 -
Avast 4.7.1051.0 2007.10.17 -
AVG 7.5.0.488 2007.10.17 -
BitDefender 7.2 2007.10.17 -
CAT-QuickHeal 9.00 2007.10.17 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.17 -
eSafe 7.0.15.0 2007.10.15 suspicious Trojan/Worm
eTrust-Vet 31.2.5218 2007.10.17 -
Ewido 4.0 2007.10.17 -
FileAdvisor 1 2007.10.18 -
Fortinet 3.11.0.0 2007.10.17 -
F-Prot 4.3.2.48 2007.10.17 -
F-Secure 6.70.13030.0 2007.10.17 -
Ikarus T3.1.1.12 2007.10.17 -
Kaspersky 7.0.0.125 2007.10.18 -
McAfee 5143 2007.10.17 -
Microsoft 1.2908 2007.10.17 -
NOD32v2 2599 2007.10.17 -
Norman 5.80.02 2007.10.17 -
Panda 9.0.0.4 2007.10.17 -
Prevx1 V2 2007.10.18 Heuristic: Suspicious File With Code Injection Technology
Rising 19.45.22.00 2007.10.17 -
Sophos 4.22.0 2007.10.17 -
Sunbelt 2.2.907.0 2007.10.17 VIPRE.Suspicious
Symantec 10 2007.10.17 -
TheHacker 6.2.9.096 2007.10.17 -
VBA32 3.12.2.4 2007.10.17 -
VirusBuster 4.3.26:9 2007.10.17 -
Webwasher-Gateway 6.6.1 2007.10.17 -
weitere Informationen
File size: 135168 bytes
MD5: c7e3109d9b8a82b32a8974716ecaedb0
SHA1: 2e17277b06b87c53da3a4f2ec633720fe1c49e68
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=A5CF57340086CD0F100A0277ECA1F1001EF25ACC
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

was meint ihr???