Der neue MSN Virus Hallo ich hab ein ernstes Problem hier. Meine freundin hat sich einen MSN Virus eingefangen. Ich habe noch keine ahnung was er macht ausser das er alle 10-15 Minuten an alle anderen User in der MSN Liste eine Nachricht schickt die etwa so aussiht: haha :D foto http://msn-gallery.net/images.php?=xyz@xyz.com aber der Link war etwas anders ich habe ihn mir nich auswendig gelernt. Ich hab die Dateien gefunden in dem system32 Ordner: "sysprint.sep" und "sysprtj.sep" Löschen kan ich sie nicht! Nicht einmal im abgesicherten modus! MSN habe ich bereits deinstalliert Mein betriebssystem ist Windows Vista Home Premium und hier ist ein hijackthis log : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:24:05, on 20.02.2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v7.00 (7.00.6002.18005) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe C:\hp\support\hpsysdrv.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe C:\Windows\system32\schtasks.exe C:\Program Files\Common Files\microsoft shared\Works Shared\WkCalRem.exe C:\Windows\system32\jusched.exe C:\Users\Public\infocard.exe C:\Windows\Explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Program Files\Power Video Converter\msdxm.ocx O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [vmware-tray] C:\Program Files\VMware\VMware Workstation\vmware-tray.exe O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Workstation\hqtray.exe" O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Users\Coldpep\Documents\FileZilla Server\FileZilla Server Interface.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s O4 - HKCU\..\Run: [{F798CD1E-EF3E-4625-8858-EAC6AA6D6010}] C:\Users\Coldpep\AppData\Roaming\USB DRIVE\USBVISIBLE.exe O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4 O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun O4 - HKCU\..\Run: [Firewall Administrating] C:\Users\Public\infocard.exe O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" -autorun O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: WkCalRem.LNK = C:\Program Files\Common Files\microsoft shared\Works Shared\WkCalRem.exe O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: WebEx Service Host for Support Center (atashost) - WebEx Communications, Inc. - C:\Windows\system32\atashost.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: IPTools - Unknown owner - C:\Users\Coldpep\Desktop\sniffer\iptools.exe (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe -- End of file - 7607 bytes kennt sich einer damit aus? hoffentlich kan mir jemand helfen! Danke im vorraus MFG Coldpep |
++++++++++++++++++++++++++++++++++++++++++++++++++ |
Hab genau die selben probleme habe malware mal gedownlaodet und der hat 2 infizierte daten gefunden und sie gelöscht schicke nicht mehr diese links ^^ also rate dir malware + spybot zu downloaden am ende machst du dann noch anti vir scan und dein problem müsste gelöst werden also bei mir ist das so ich weiß aber nicht ob der virus dann 100% weg ist... |
hmm danke ich mach das schon mal vielleicht kommen ja noch antworten ;) meinst du mit maleware malewarebytes? |
jo malwarebytes hab ehm hijack gerade gedownloade und im internet findest du eine Online auswertung hab gerade gemacht dermeinte alles ist inordnung^^ |
Also ich hab eine schlechte nachricht und ich habe alle scans gemacht und alles mit den 2 programmen und scan mit antivir aber er schickt die nachrichten immernoch weiter und ich werde jedes mal dabei rausgeschmissen wie einen das aufregt >.< |
Komisch also bei mir funkte es o0 hat er bei dir den acuh infizierte daten gefunden? hast du auch einen viren scan gemacht? ... naja will auch halt wissen bei mir schickt er diese links nicht mehr aber kann sein das ich trotzdem das virus hab,... |
guck mal bei dir im system32 ordner op die beiden dateien da sind : "sysprint.sep" und "sysprtj.sep" bei mir existiren sie immernoch und ich kan sie immer noch nicht löschen das komische dadran istg wen ich den computer mit gesichertem modus starte kan ich sie trotztdem nicht löschen uind ja er hat was gefunden bei maleware und das andere! |
Hab die auch was machen die? aber das ist kein virus SYSPRINT.SEP: ist eine PostScript-Kompatibele Trenndatei. Es druckt also eine Trennseite an dem Anfang jedes Dokuments. sysprtj.sep: Dies ist eine Variante der Datei sysprint.sep mit Unterstützung für japanische Schriftzeichen. wenn du eine datei hast die sysprint.dll heißt dann ja also hab es so verstanden^^ lies dir das mal durch http://www.netzwelt.de/download/3759...messenger.html |
okey.. ne die dll ist nich vorhanden meinst du wen ich wieder zu miranda Hauptseite ? Miranda IM auf Deutsch wechseln würde währe er immernoch da? ich meine miranda ist ja nicht msn aber es funktioniert vielleicht so ähnlich? |
Würd aufjeden fall sagen wenn du diese datei nicht hast sysprint.dll wenn dein anti vir keine meldung von einem trojaner sagt wenn malewarebytes sagt alles ist inordnung wenn spybot keine probleme findet müsste dein pc tip top sein =) ich mein msn virus ist kein virus das die vielen programme austricksen kann... ist einfach so ein virus von anfänger erstellt ^^ |
also für mich siht er ganz gut aus ich bin aber auch ein noob ich könte vielleicht mal ein taschenrechner in visual basic 6 erstellen mehr auch nicht. also ich habe den virus gefunden bei meinem vista pc war es so ich ging auf start/systemsteuerung/autostartprogramme ändern und dan da oben kan mana uf zur zeit ausgeführte programme gehen da war so ein komisches keine ahnung mehr wie es heisst ich guck gleich nach und dan hab ichs halt also den prozess beendet rausgewordn wertd ich immernoch aber er verschickt keine links mehr! |
Also ich dachte ich hab den virus auch los aber irgendwie hat heute anti vir ein trojaner gefunden -.- infocard.exe weiß aber nicht ob ich jetzt die viren los bin wieso findet er die viren nicht wenn ich scanne??? -.- ja und dann scanne ich wieder gucke finde ein virus namens TR/Buzus.dgno omg was soll das -.- |
LoL ich habs glaub ich wirklich geschafft :P also avira meldet eine datei "C:\Users\Public\infocard.exe" die hab ich erst zugriff verweigert nachgekukt und die datei selber nicht gefunden versteckt ist sie auch nicht dan meldet avira sie nochmal dan habe ich quarantäne gemacht und ich werde weder rausgeworfen und schicke keine links ab :D wofür ist eigentlich quarantäne das er sie immer verweigert oder ignoriert? ignorieren steht da ja auch also denk ich mal das erste |
LOL komisch guck mal bei mir ist heute meldung gekommen infocard.exe ok !! gelöscht jetzt lass ich anti vir durchlaufen was komtm? noch ein virus TR/Buzus.dgno !!!! was den los .,. |
der kam bei mir auch mal aber kommt nicht mehr :applaus: du solst die nicht löschen weil sie kommen doch vllt immer wieder aber es muss irgendwo ne datei geben die die dateien immer erstellt und die müssen wir finden :rolleyes: |
report von anti vir Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 22. Februar 2010 15:01 Es wird nach 1781722 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista 64 Bit Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : CEMIL-PC Versionsinformationen: BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 17:00:27 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:00:27 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:00:11 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:00:21 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:54:46 VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 16:54:46 VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 16:54:47 VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 16:54:47 VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 16:54:47 VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 16:54:47 VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 16:54:48 VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 16:54:48 VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 16:54:48 VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 16:54:48 VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 16:54:48 VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 20:07:53 VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 20:07:54 VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 20:08:14 VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 20:08:12 VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 11:03:20 VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 11:03:21 VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 12:08:19 VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 13:55:30 VBASE022.VDF : 7.10.4.50 107520 Bytes 15.02.2010 13:55:25 VBASE023.VDF : 7.10.4.62 105472 Bytes 15.02.2010 14:22:17 VBASE024.VDF : 7.10.4.85 111616 Bytes 17.02.2010 14:22:17 VBASE025.VDF : 7.10.4.109 122368 Bytes 21.02.2010 13:59:50 VBASE026.VDF : 7.10.4.110 2048 Bytes 21.02.2010 13:59:50 VBASE027.VDF : 7.10.4.111 2048 Bytes 21.02.2010 13:59:50 VBASE028.VDF : 7.10.4.112 2048 Bytes 21.02.2010 13:59:50 VBASE029.VDF : 7.10.4.113 2048 Bytes 21.02.2010 13:59:50 VBASE030.VDF : 7.10.4.114 2048 Bytes 21.02.2010 13:59:50 VBASE031.VDF : 7.10.4.119 67072 Bytes 22.02.2010 13:59:51 Engineversion : 8.2.1.172 AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 16:52:33 AESCRIPT.DLL : 8.1.3.16 827771 Bytes 20.02.2010 13:02:12 AESCN.DLL : 8.1.4.0 127348 Bytes 27.01.2010 17:23:03 AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 17:00:27 AERDL.DLL : 8.1.4.2 479602 Bytes 13.02.2010 13:55:33 AEPACK.DLL : 8.2.0.8 426357 Bytes 13.02.2010 13:55:31 AEOFFICE.DLL : 8.1.0.39 196987 Bytes 20.02.2010 13:02:11 AEHEUR.DLL : 8.1.1.7 2326902 Bytes 20.02.2010 13:02:10 AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 15:15:20 AEGEN.DLL : 8.1.1.87 369013 Bytes 20.02.2010 13:02:06 AEEMU.DLL : 8.1.1.0 393587 Bytes 19.10.2009 22:27:43 AECORE.DLL : 8.1.11.1 184694 Bytes 01.02.2010 20:07:51 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 19.10.2009 22:28:07 AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 14:22:18 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 17:00:26 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\program files (x86)\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 22. Februar 2010 15:01 Der Suchlauf nach versteckten Objekten wird begonnen. Der Treiber konnte nicht initialisiert werden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SpybotSD.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RAVCpl64.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'TuneUpUtilitiesApp64.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'TuneUpUtilitiesService64.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '0' Modul(e) wurden durchsucht Es wurden '10' Prozesse mit '10' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '28' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Users\Cemil\AppData\Local\VirtualStore\Windows\infocard.exb [FUND] Ist das Trojanische Pferd TR/Buzus.dgno Beginne mit der Desinfektion: C:\Users\Cemil\AppData\Local\VirtualStore\Windows\infocard.exb [FUND] Ist das Trojanische Pferd TR/Buzus.dgno [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4be8950e.qua' verschoben! Ende des Suchlaufs: Montag, 22. Februar 2010 15:28 Benötigte Zeit: 26:31 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 23146 Verzeichnisse wurden überprüft 338650 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 338648 Dateien ohne Befall 2052 Archive wurden durchsucht 1 Warnungen 2 Hinweise |
also bei mir findet avira nix malewarebytes sagt auch alles sauber und spybot findet nur cookies :teufel3: |
Ja gestern war das so vorgestern auch hallo? habe tausendmal gescannt alles schien ok und heute dann meldung von infocard??!?? omg kann endlich mal einer uns helfen -.- |
wan hast du letztes mal update mit avira gemacht? vllt kannte er die datei vorher einfach nicht und das waren die reste die noch übrig geblieben sind! |
gestern hab ich updates gemacht heute auch und heute fand er virus -.- |
hmm komisch mein msn stürtzt heute schon das 2te mal ab:nixda: |
Bei mir funktioniert alles !!!! aber wenn er heute mir sagt infocard.exe trojaner gefunden hallo ??? woher kann ich ejtzt sicher gehen das die meinen pc nicht längst gehackt haben man dachte die könnten mir hier helfen aber wir führen hier ein dialog omg ^^ |
naja also dein password haben sie sowieso! davon kanst du ausgehen und mit ein bissien pech noch einen trojaner warte doch erstmal ab bevor du dich beschwerst wir schrieben ja jede 2 min ne antwort :D vllt komt ja noch jemand wen nicht dan könenn wir uns beschweren |
lol was heißt hier meinen passwort haben die ja sowieso pw geändert schicke keine links -.- als ob das so einfach geht-.- |
überleg doch mal ein trojaner ist ein paar bytes groß wen avira ihn nicht kennt wird avira ihn nicht finden und der könte ständig dein neues paswort an sie senden und wen avira schon sagt da ist noch was auf deinen pc könte es einer sein vielleicht hat der virus ja dein msn manipuliert so das msn.exe oder so dein passwort weg sendet und aus welchem grund sollte man diesen virus erstellen auser um passwörter zu bekommen? einen anderer gruznd fällt mir nicht ein |
Man so ein scheiß ich verklag gleich windows xD |
ich würde lieber nach linux wechseln :Ddafüt gibts sehr sehr sehr bis garkeine viren :) soweit ich weiss ich hatte es auch ne zeit lang aber war mir zu kompliziert :D dafür mus man programieren können ich konte nicht mal mein fritzwlan stick verbinden =D ned mal mit wine |
Hab malware bytes update gemacht du weiß nicht was er alles gefunden hat.... 11 infizierte daten davon 8 trojaner glaub hatte shcon immer diesen kack egal morgen oder freitag mache ich neuinstallertion alle pw änder^^ |
oha dan mach ich jetzt auch besser ein scan weisst du den welche dateien das warn? |
bei mir findet malewarebytes und avira und spybot garnixx wirklich nix :D ich habs irgendwie geschafft |
TFCleaner Download TFC.exe by OldTimer zum Desktop Schliesse alle Fenster und doppelklick TFC.exe um das Programm zu starten Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator" Lasse Temp File Cleaner seine Arbeit tun Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu ComboFix © (by sUBs) Download ComboFix © by sUBs und speichert es auf den Desktop! Waehrend ComboFix runter geladen wird aendere Combofix um in cofi.exe und nicht nachher wenn CF schon auf dein Rechner steht http://www.imgdumper.nl/uploads2/4b5...4719a-cofi.jpg Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Note:Vista Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen. Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Befolge diese Anleitung |
Hallo zusammen. Einen ähnlichen Link hatte ich auch und nun, dank Neugierde:koch:, das schon bekannte Problem mit dem automatischen Verschicken dieses blöden Links. Ich hab mit CCCleaner aufgeräumt. Malewarebyte hat keine Probleme gezeigt, Ad Aware und Spybot waren absolut unauffällig. Avira Antivir hat ebenfalls nichts gefunden. Heißt das, ich kann ein Fass aufmachen weil er weg ist :Boogie: oder steckt dieser Wurm, oder was auch immerdas ist, noch irgendwo? Grüße ein Spatz |
lol ich hab das gefühl avira etc. erkennt ihn nicht mal bei mir siht es jetzt so aus: immer wen ich msn on komme steht da das jemand anders bei mir on kommt auch 5 sek nachde ich pw gewechselt hab einmal waren es sogar und avira hat jetzt doch wieder was gefunden und zwar infocard.exb =/ man is das kompliziert meine schwester ihr leptop hat nix mit meinem pc zu tun ich habe sie nich in msn sie hat mich nicht sie hat ihn jetzt auhc und meine cusine ebenfalls aber daswarscheinlich von meiner schwester und noch ein freund von mir der hat diesen link ständig geschickt bekommen von jemanden aus seiner liste aber er hat ihn auch nie geöffnet und trotztdem hat er den virus! ist das etwa der weltuntergang :crazy::blabla: haha nein ich mach nur spaß :D |
HijackThis Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Unter Windows Vista/7 muss Hijackthis als Administrator ausgefuehrt werden. Dazu mit der linken Maustaste auf das Programm klicken und "Als Administrator ausfuehren" waehlen. Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O4 - HKCU\..\Run: [Firewall Administrating] C:\Users\Public\infocard.exe Klicke Fixed checked Und mache bitte was ich oben schon geschrieben habe |
Also ich hab den scan gemacht hier der Log ComboFix 10-02-25.02 - Coldpep 26.02.2010 10:25:24.1.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.1015.123 [GMT 1:00] ausgeführt von:: c:\users\Coldpep\Desktop\ComboFix.exe SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9} SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . ADS - system32: deleted 12 bytes in 1 streams. (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500 c:\$recycle.bin\S-1-5-21-2732399995-4212196881-139498621-500 c:\program files\Cheat Engine\dbk32.sys c:\program files\ICQ6.5\ICQLRun.exe c:\windows\system32\COMCTL32.OCA c:\windows\system32\Ijl11.dll D:\resycled E:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2010-01-26 bis 2010-02-26 )))))))))))))))))))))))))))))) . 2010-02-25 12:10 . 2008-03-16 13:30 216064 --sh--r- c:\windows\system32\nbDX.dll 2010-02-25 12:10 . 2007-02-21 11:47 31232 --sh--r- c:\windows\system32\msfDX.dll 2010-02-25 12:10 . 2010-02-25 12:10 -------- d-----w- c:\program files\eRightSoft 2010-02-25 11:21 . 2010-02-25 11:21 766 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_6FEFF9B68218417F98F549.exe 2010-02-25 11:21 . 2010-02-25 11:21 2550 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_E83942FDD21AE7EBDDE816.exe 2010-02-25 11:21 . 2010-02-25 11:21 1518 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_A5D27F3246FA06A1F32E67.exe 2010-02-25 11:21 . 2010-02-25 11:21 1078 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_B59C22905D01E24AC2F2E2.exe 2010-02-25 11:21 . 2010-02-25 11:21 1078 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_38FC3D72E82D1A5C41CCD2.exe 2010-02-25 11:21 . 2010-02-25 11:21 10134 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_1AC2F9D23202205BD12695.exe 2010-02-25 11:21 . 2010-02-25 11:21 -------- d-----w- c:\program files\MP3 Player Utilities 4.18 2010-02-25 11:11 . 2006-05-03 10:06 163328 --sh--r- c:\windows\system32\flvDX.dll 2010-02-24 14:31 . 2010-02-24 14:31 -------- d-----w- c:\program files\WinPcap 2010-02-24 13:49 . 2010-02-24 13:49 2238 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{6CA671A5-954C-4B75-8104-7B085246A8B5}\_47636419.exe 2010-02-24 13:46 . 2010-02-24 13:46 -------- d-----w- c:\program files\dolp_demo 2010-02-24 02:16 . 2010-02-24 02:16 -------- d-----w- c:\users\Coldpep\AppData\Roaming\fltk.org 2010-02-23 23:20 . 2010-02-26 06:43 413696 ----a-w- c:\windows\system32\wrap_oal.dll 2010-02-23 23:20 . 2010-02-26 06:43 110592 ----a-w- c:\windows\system32\OpenAL32.dll 2010-02-23 23:20 . 2010-02-23 23:20 -------- d-----w- c:\program files\OpenAL 2010-02-23 23:20 . 2010-02-23 23:27 -------- d-----w- c:\users\Coldpep\AppData\Roaming\flightgear.org 2010-02-22 12:58 . 2010-02-26 09:34 -------- d-----w- c:\program files\ICQ6.5 2010-02-22 12:45 . 2010-02-22 12:45 -------- d-----w- c:\users\Coldpep\AppData\Local\AOL 2010-02-22 12:45 . 2010-02-22 12:45 -------- d-----w- c:\program files\ICQ7.0 2010-02-20 21:16 . 2010-02-20 21:16 -------- d-----w- c:\users\mama\AppData\Roaming\Malwarebytes 2010-02-20 18:38 . 2010-02-20 18:38 -------- d-----w- c:\program files\Windows Live SkyDrive 2010-02-20 18:37 . 2010-02-20 18:37 -------- d-----w- c:\windows\PCHEALTH 2010-02-20 18:17 . 2010-02-20 18:17 -------- d-----w- c:\users\Coldpep\AppData\Roaming\Malwarebytes 2010-02-20 18:17 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-20 18:16 . 2010-02-20 18:16 -------- d-----w- c:\programdata\Malwarebytes 2010-02-20 18:16 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-20 18:16 . 2010-02-20 18:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-02-20 17:46 . 2010-02-25 14:03 -------- d-----w- c:\programdata\Spybot - Search & Destroy 2010-02-20 17:46 . 2010-02-22 11:00 -------- d-----w- c:\program files\Spybot - Search & Destroy 2010-02-19 17:14 . 2010-02-19 17:14 -------- d-----w- c:\users\Coldpep\AppData\Roaming\DivX 2010-02-19 11:22 . 2010-02-25 11:33 -------- d-----w- c:\users\Coldpep\AppData\Roaming\dvdcss 2010-02-15 22:24 . 2010-02-25 20:44 -------- d-----w- c:\users\Coldpep\AppData\Roaming\vlc 2010-02-15 22:23 . 2010-02-15 22:23 -------- d-----w- c:\program files\VideoLAN 2010-02-15 21:36 . 2010-02-15 21:36 -------- d-----w- c:\users\Coldpep\AppData\Roaming\C__Program Files_MSNRecorderMax_youtubeuploader.exe 2010-02-15 21:36 . 2010-02-15 21:36 -------- d-----w- c:\programdata\C__Program Files_MSNRecorderMax_youtubeuploader.exe 2010-02-15 20:39 . 2010-02-15 20:39 -------- d-----w- c:\users\Coldpep\AppData\Roaming\MSNRecorderMax 2010-02-15 20:39 . 2010-02-15 20:39 -------- d-----w- c:\programdata\MSNRecorderMax 2010-02-14 22:33 . 2010-02-14 22:33 -------- d-----w- c:\programdata\Messenger Plus! 2010-02-14 22:33 . 2010-02-14 22:33 -------- d-----w- c:\program files\Conduit 2010-02-14 22:33 . 2010-01-20 11:14 52224 ----a-w- c:\users\Coldpep\AppData\Roaming\Mozilla\Firefox\Profiles\lq91krsm.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}\components\FFExternalAlert.dll 2010-02-14 22:33 . 2010-01-20 11:14 101376 ----a-w- c:\users\Coldpep\AppData\Roaming\Mozilla\Firefox\Profiles\lq91krsm.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}\components\RadioWMPCore.dll 2010-02-14 22:33 . 2010-02-14 22:33 -------- d-----w- c:\program files\Messenger Plus! Live 2010-02-12 03:53 . 2010-02-13 23:32 -------- d-----w- c:\users\Coldpep\AppData\Roaming\Audacity 2010-02-12 03:52 . 2010-02-12 03:52 -------- d-----w- c:\program files\Audacity 1.3 Beta (Unicode) 2010-02-10 16:30 . 2010-02-10 16:30 -------- d-----w- c:\users\Coldpep\AppData\Roaming\U3 2010-02-08 23:29 . 2010-02-22 11:22 -------- d-----w- c:\program files\Common Files\PX Storage Engine 2010-02-08 23:28 . 2010-02-22 12:23 -------- d-----w- c:\program files\DivX 2010-02-08 23:20 . 2010-02-22 17:35 -------- d-----w- c:\users\Coldpep\dwhelper 2010-02-07 10:51 . 2010-02-07 10:52 -------- d-----w- c:\program files\Stealth 2010-02-05 16:41 . 2010-02-08 08:31 -------- d-----w- c:\program files\Netzmanager 2010-02-05 16:41 . 2010-02-05 16:41 -------- d-----w- c:\users\Coldpep\AppData\Local\PackageAware 2010-02-05 15:55 . 2004-10-07 06:19 140800 ----a-w- c:\windows\system32\sqliteodbc.dll 2010-02-05 15:55 . 2005-01-16 23:12 53248 ----a-w- c:\windows\system32\SSubTmr6.dll 2010-02-05 15:55 . 2005-01-16 23:12 294912 ----a-w- c:\windows\system32\mbr_sqlite.dll 2010-02-05 15:55 . 2005-01-16 23:12 20992 ----a-w- c:\windows\system32\vbalIPrg.dll 2010-02-05 15:55 . 2003-06-22 19:57 94208 ----a-w- c:\windows\system32\CMDLGD6.dll 2010-02-05 15:55 . 2005-01-16 23:12 29696 ----a-w- c:\windows\system32\VB6DE.dll 2010-02-05 13:02 . 2010-02-24 14:31 -------- d-----w- c:\program files\Cain 2010-02-05 12:21 . 2010-02-05 12:21 -------- d-----w- c:\users\Coldpep\AppData\Roaming\PeerNetworking 2010-02-05 11:25 . 2010-02-05 11:25 -------- d-----w- c:\program files\Pure Networks 2010-02-05 11:24 . 2009-03-06 12:01 76184 ----a-w- c:\windows\system32\atsckernel.exe 2010-02-05 11:24 . 2009-03-06 11:59 20376 ----a-w- c:\windows\system32\atashost.exe 2010-02-05 11:24 . 2010-02-05 11:24 -------- d-----w- c:\programdata\webex 2010-02-05 04:00 . 2010-02-05 04:00 -------- d-----w- c:\users\Coldpep\AppData\Local\Downloaded Installations 2010-02-02 12:55 . 2010-02-02 12:57 -------- d-----w- C:\Lop SD 2010-02-02 00:55 . 2010-02-20 16:35 -------- d-----w- c:\users\Coldpep\AppData\Roaming\BitTorrent 2010-02-02 00:55 . 2010-02-02 00:55 -------- d-----w- c:\program files\BitTorrent 2010-02-01 18:27 . 2010-02-01 18:27 -------- d-----w- c:\users\mama\AppData\Roaming\Template 2010-02-01 17:54 . 2010-02-01 17:55 -------- d-----w- c:\users\mama\AppData\Local\Adobe 2010-01-30 20:16 . 2010-01-30 20:16 -------- d-----w- c:\program files\Trend Micro 2010-01-30 07:02 . 2010-01-30 07:02 -------- d-----w- c:\program files\VB Decompiler Pro 2010-01-30 06:50 . 2010-01-30 06:50 -------- d-----w- c:\programdata\LightScribe 2010-01-30 06:48 . 2010-02-22 11:28 -------- d-----w- c:\program files\Common Files\Ahead 2010-01-30 02:27 . 2010-02-03 19:47 -------- d-----w- c:\program files\XBC 2010-01-28 11:01 . 2010-01-28 11:01 680 ----a-w- c:\users\mama\AppData\Local\d3d9caps.dat 2010-01-28 11:00 . 2010-01-28 11:02 -------- d-----w- c:\users\mama\AppData\Roaming\PCToolsFirewallPlus . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-26 09:34 . 2009-11-09 11:38 -------- d-----w- c:\program files\Cheat Engine 2010-02-26 06:40 . 2009-10-27 10:30 -------- d-----w- c:\program files\FlightGear 2010-02-25 08:03 . 2009-10-21 20:26 -------- d-----w- c:\users\Coldpep\AppData\Roaming\FileZilla 2010-02-24 14:49 . 2009-12-27 20:24 -------- d-----w- c:\users\Coldpep\AppData\Roaming\ICQ 2010-02-24 03:44 . 2007-09-11 01:31 628672 ----a-w- c:\windows\system32\perfh007.dat 2010-02-24 03:44 . 2007-09-11 01:31 127206 ----a-w- c:\windows\system32\perfc007.dat 2010-02-23 18:54 . 2010-01-15 23:44 -------- d-----w- c:\program files\CCleaner 2010-02-23 15:32 . 2010-01-20 13:08 -------- d-----w- c:\program files\ICQ6Toolbar 2010-02-22 19:13 . 2009-11-06 11:35 1622 ----a-w- c:\users\Coldpep\AppData\Roaming\wklnhst.dat 2010-02-22 12:46 . 2010-01-20 13:08 -------- d-----w- c:\programdata\ICQ 2010-02-22 11:41 . 2009-10-18 09:25 67888 ----a-w- c:\users\Coldpep\AppData\Local\GDIPFONTCACHEV1.DAT 2010-02-22 11:21 . 2010-01-03 06:45 -------- d-----w- c:\program files\CACE Technologies 2010-02-20 18:38 . 2009-12-13 19:12 -------- d-----w- c:\program files\Windows Live 2010-02-18 23:32 . 2010-02-01 18:27 1378 ----a-w- c:\users\mama\AppData\Roaming\wklnhst.dat 2010-02-17 15:23 . 2009-12-22 10:24 -------- d-----w- c:\program files\NeoSmart Technologies 2010-02-16 00:10 . 2009-12-29 07:12 -------- d-----w- c:\users\Coldpep\AppData\Roaming\TeamViewer 2010-02-14 20:56 . 2010-01-07 08:45 -------- d-----w- c:\users\Coldpep\AppData\Roaming\Skype 2010-02-14 19:29 . 2010-01-07 08:52 -------- d-----w- c:\users\Coldpep\AppData\Roaming\skypePM 2010-02-12 15:16 . 2009-11-11 19:38 -------- d-----w- c:\program files\SystemRequirementsLab 2010-02-12 00:00 . 2010-01-23 06:16 -------- d-----w- c:\program files\Game Optimizer Pro 2010-02-10 10:15 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-02-09 22:03 . 2009-10-19 09:48 68336 ----a-w- c:\users\mama\AppData\Local\GDIPFONTCACHEV1.DAT 2010-02-06 19:43 . 2009-12-27 00:38 -------- d-----w- c:\users\Coldpep\AppData\Roaming\Wireshark 2010-02-05 11:24 . 2010-02-05 11:24 8892928 ----a-w- c:\programdata\atscie.msi 2010-02-04 15:02 . 2010-01-01 11:57 -------- d-----w- c:\program files\avmwlanstick 2010-02-03 20:02 . 2009-11-20 15:21 -------- d-----w- c:\program files\FileZilla Server 2010-01-28 12:11 . 2009-12-28 14:08 -------- d-----w- c:\users\mama\AppData\Roaming\ICQ 2010-01-25 16:43 . 2009-11-06 11:36 -------- d-----w- c:\users\Coldpep\AppData\Roaming\Template 2010-01-25 13:00 . 2010-01-25 08:56 -------- d-----w- c:\program files\PC Tools Firewall Plus 2010-01-25 13:00 . 2010-01-25 08:57 100136 ----a-w- c:\windows\system32\drivers\pctwfpfilter.sys 2010-01-25 13:00 . 2010-01-25 08:56 70664 ----a-w- c:\windows\system32\drivers\pctNdis-PacketFilter.sys 2010-01-25 13:00 . 2010-01-25 08:56 58816 ----a-w- c:\windows\system32\drivers\pctNdis.sys 2010-01-25 13:00 . 2010-01-25 08:56 115216 ----a-w- c:\windows\system32\drivers\pctplfw.sys 2010-01-25 13:00 . 2010-01-25 08:57 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys 2010-01-25 13:00 . 2010-01-25 08:56 32680 ----a-w- c:\windows\system32\drivers\pctNdis-DNS.sys 2010-01-25 09:02 . 2010-01-25 09:01 -------- d-----w- c:\users\Coldpep\AppData\Roaming\PCToolsFirewallPlus 2010-01-25 08:57 . 2010-01-25 08:56 -------- d-----w- c:\program files\Common Files\PC Tools 2010-01-25 08:50 . 2010-01-25 08:50 -------- d-----w- c:\program files\Microsoft Silverlight 2010-01-20 13:09 . 2007-09-10 16:17 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-01-14 13:13 . 2009-11-16 17:05 -------- d-----w- c:\program files\Vodafone PC Suite 2010-01-14 11:52 . 2010-01-14 11:46 -------- d-----w- c:\program files\Mobile Partner 2010-01-14 10:12 . 2009-10-18 20:34 181120 ------w- c:\windows\system32\MpSigStub.exe 2010-01-13 20:42 . 2010-01-13 20:42 680 ----a-w- c:\users\Coldpep\AppData\Local\d3d9caps.dat 2010-01-13 16:56 . 2010-01-13 16:54 -------- d-----w- c:\program files\ManyCam 2.4 2010-01-13 16:56 . 2010-01-13 16:54 -------- d-----w- c:\users\Coldpep\AppData\Roaming\ManyCam 2010-01-10 13:00 . 2009-12-26 04:28 -------- d-----w- c:\programdata\TamoSoft 2010-01-10 12:47 . 2007-09-10 16:29 -------- d-----w- c:\program files\Common Files\muvee Technologies 2010-01-08 08:55 . 2010-01-08 08:55 -------- d-----w- c:\users\Coldpep\AppData\Roaming\LightZone 2010-01-08 08:55 . 2010-01-08 08:55 -------- d-----w- c:\program files\Common Files\eSellerate 2010-01-08 08:55 . 2010-01-08 08:54 -------- d-----w- c:\program files\LightZone 3 2010-01-07 08:49 . 2010-01-07 08:44 -------- d-----r- c:\program files\Skype 2010-01-07 08:49 . 2010-01-07 08:49 -------- d-----w- c:\program files\Common Files\Skype 2010-01-07 08:44 . 2009-12-24 20:07 -------- d-----w- c:\programdata\Skype 2010-01-03 06:26 . 2010-01-03 06:26 -------- d-----w- c:\program files\Technitium 2010-01-01 06:09 . 2010-01-01 06:09 13 ---h--w- c:\programdata\ÐÝÃÄ›.sys 2010-01-01 06:09 . 2010-01-01 06:09 13 ---h--w- c:\programdata\ÐÝÃÄ›.sys 2010-01-01 05:32 . 2010-01-01 05:32 -------- d-----w- c:\program files\Emerald Editor Community 2009-12-29 13:35 . 2009-12-29 13:29 -------- d-----w- c:\users\mama\AppData\Roaming\DeepBurner Pro 2009-12-29 07:11 . 2009-12-29 07:11 -------- d-----w- c:\program files\TeamViewer 2009-12-29 04:58 . 2009-12-27 21:08 -------- d--h--w- c:\program files\InstallJammer Registry 2009-12-28 14:07 . 2009-12-28 14:07 -------- d-----w- c:\users\mama\AppData\Roaming\VMware 2009-12-18 13:01 . 2010-01-22 14:09 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-12-17 14:02 . 2009-12-26 17:04 123280 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys 2009-12-17 14:02 . 2009-12-26 17:04 41616 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys 2009-12-17 14:02 . 2009-12-17 14:02 99152 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys 2009-12-17 14:02 . 2009-12-17 14:02 31824 ----a-w- c:\windows\system32\drivers\VBoxUSB.sys 2009-12-17 14:02 . 2009-12-17 14:02 133648 ----a-w- c:\windows\system32\VBoxNetFltNotify.dll 2009-12-17 14:02 . 2009-12-17 14:02 110096 ----a-w- c:\windows\system32\drivers\VBoxNetFlt.sys 2009-12-16 11:44 . 2010-01-22 14:09 834048 ----a-w- c:\windows\system32\wininet.dll 2009-12-11 11:43 . 2010-02-10 09:44 302080 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-11 11:43 . 2010-02-10 09:44 98816 ----a-w- c:\windows\system32\drivers\srvnet.sys 2009-12-09 17:40 . 2009-11-01 10:12 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-08 20:01 . 2010-02-10 09:44 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys 2009-12-08 20:01 . 2010-02-10 09:44 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe 2009-12-08 20:01 . 2010-02-10 09:44 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe 2009-12-08 17:26 . 2010-02-10 09:44 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys 2009-12-04 18:30 . 2010-02-10 09:44 12288 ----a-w- c:\windows\system32\tsbyuv.dll 2009-12-04 18:29 . 2010-02-10 09:44 1314816 ----a-w- c:\windows\system32\quartz.dll 2009-12-04 18:28 . 2010-02-10 09:44 22528 ----a-w- c:\windows\system32\msyuv.dll 2009-12-04 18:28 . 2010-02-10 09:44 31744 ----a-w- c:\windows\system32\msvidc32.dll 2009-12-04 18:28 . 2010-02-10 09:44 123904 ----a-w- c:\windows\system32\msvfw32.dll 2009-12-04 18:28 . 2010-02-10 09:44 13312 ----a-w- c:\windows\system32\msrle32.dll 2009-12-04 18:28 . 2010-02-10 09:44 82944 ----a-w- c:\windows\system32\mciavi32.dll 2009-12-04 18:28 . 2010-02-10 09:44 50176 ----a-w- c:\windows\system32\iyuv_32.dll 2009-12-04 18:27 . 2010-02-10 09:44 91136 ----a-w- c:\windows\system32\avifil32.dll 2009-12-04 15:56 . 2010-02-10 09:44 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys 2009-12-04 15:56 . 2010-02-10 09:44 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2002-07-31 18:55 . 2010-01-01 06:01 104 --sh--w- c:\windows\WSYS049.SYS 2006-05-03 10:06 . 2010-02-25 11:11 163328 --sh--r- c:\windows\System32\flvDX.dll 2007-02-21 11:47 . 2010-02-25 12:10 31232 --sh--r- c:\windows\System32\msfDX.dll 2008-03-16 13:30 . 2010-02-25 12:10 216064 --sh--r- c:\windows\System32\nbDX.dll 2007-09-11 01:56 . 2007-09-11 01:34 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT . ------- Sigcheck ------- [-] 2008-02-17 . EAC2A93DB28E831CE601AE140CA89F8A . 448512 . . [6.0.6001.18000] . . c:\windows\System32\termsrv.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184] "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "00PCTFW"="c:\program files\PC Tools Firewall Plus\FirewallGUI.exe" [2010-01-25 3168216] "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "VistaSp2"=hex(b):da,b8,ff,cb,87,56,ca,01 R1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [25.01.2010 09:57 233136] R1 VBoxDrv;VirtualBox Service;c:\windows\System32\drivers\VBoxDrv.sys [26.12.2009 18:04 123280] R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\System32\drivers\VBoxUSBMon.sys [26.12.2009 18:04 41616] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [01.11.2009 11:12 108289] R2 atashost;WebEx Service Host for Support Center;c:\windows\System32\atashost.exe [05.02.2010 12:24 20376] R2 NPF;NetGroup Packet Filter Driver;c:\windows\System32\drivers\npf.sys [20.10.2009 19:19 50704] R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\System32\drivers\PCTAppEvent.sys [25.01.2010 09:57 88040] R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [20.02.2010 18:46 1153368] R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\System32\drivers\fwlanusb.sys [25.12.2009 05:06 265088] R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\System32\drivers\ManyCam.sys [14.01.2008 11:06 21632] R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\System32\drivers\pctNdis-PacketFilter.sys [25.01.2010 09:56 70664] R3 pctNDIS;PC Tools Driver;c:\windows\System32\drivers\pctNdis.sys [25.01.2010 09:56 58816] R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [25.01.2010 09:56 115216] R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\System32\drivers\VBoxNetFlt.sys [17.12.2009 15:02 110096] S0 sptd;sptd;c:\windows\System32\drivers\sptd.sys [18.10.2009 12:06 721904] S3 avmeject;AVM Eject;c:\windows\System32\drivers\avmeject.sys [02.01.2010 03:04 4352] S3 IPTools;IPTools;c:\users\Coldpep\Desktop\sniffer\iptools.exe --> c:\users\Coldpep\Desktop\sniffer\iptools.exe [?] S3 MobileAdapter;Mobile Adapter USB Modem and USB Serial;c:\windows\System32\drivers\qscvusb.sys [16.11.2009 18:07 103552] S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?] S3 PCTFW-DNS;PCTools Firewall - DNS driver;c:\windows\System32\drivers\pctNdis-DNS.sys [25.01.2010 09:56 32680] S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;c:\windows\System32\drivers\rt2870.sys [04.01.2010 03:05 729728] S3 TS_AR5416;[CommView] Atheros AR5008 Wireless Network Adapter Service;c:\windows\System32\drivers\ts_athw.sys [26.12.2009 05:27 1351104] S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\System32\drivers\VBoxNetAdp.sys [17.12.2009 15:02 99152] S3 VBoxUSB;VirtualBox USB;c:\windows\System32\drivers\VBoxUSB.sys [17.12.2009 15:02 31824] S4 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [20.01.2010 14:08 246520] S4 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [17.12.2009 17:04 185640] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache . Inhalt des "geplante Tasks" Ordners 2010-02-22 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job - c:\program files\Spybot - Search & Destroy\SpybotSD.exe [2010-02-20 14:31] 2010-02-25 c:\windows\Tasks\User_Feed_Synchronization-{670D9234-22F2-448E-8EDC-15C6059BB000}.job - c:\windows\system32\msfeedssync.exe [2009-10-22 07:33] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.18\AMVConverter\grab.html FF - ProfilePath - c:\users\Coldpep\AppData\Roaming\Mozilla\Firefox\Profiles\lq91krsm.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - google.com FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q= FF - component: c:\users\Coldpep\AppData\Roaming\Mozilla\Firefox\Profiles\lq91krsm.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}\components\FFExternalAlert.dll FF - component: c:\users\Coldpep\AppData\Roaming\Mozilla\Firefox\Profiles\lq91krsm.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}\components\RadioWMPCore.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - AddRemove-{43B74FAB-FB58-447D-8D3A-5F638AF36FD1} - c:\users\Coldpep\AppData\Local\{9F3E013D-5CC0-40CE-82C2-47A599C1BC72}\Netzmanager1.041b_091125a.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-26 10:35 Windows 6.0.6002 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PsSdk30] "ImagePath"="\??\c:\windows\system32\Drivers\PsSdk30.drv" . Zeit der Fertigstellung: 2010-02-26 10:38:01 ComboFix-quarantined-files.txt 2010-02-26 09:37 Vor Suchlauf: 13 Verzeichnis(se), 66.237.923.328 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 66.203.004.928 Bytes frei - - End Of File - - DD9B1242EE246FAAC5CB63D7CAA0C695 steht da das jetzt wieder alles cool ist? ich werde aus dem log nicht sehr schlau. Bei Hijack this also vor dem scan mit ComboFix war kein eintrag der so hies: O4 - HKCU\..\Run: [Firewall Administrating] C:\Users\Public\infocard.exe |
CombiFix entfernen Start > Ausführen> Kopiere rein combofix /uninstall OK |
so einen ähnlichen virus gabs vor anderthalb jahren schonmal und damals wie jetzt auch hab ich den mit keinem vierenprogramm wegbekommen ich hab einfach die daten die ich noch brauche gebrannt und danach die festplatte formatiert und alles neu instaliert ist zwar nervig und umstaendlich aber nur für ein zwei stunden das is immer noch besser als sich tage oder wochenlang mit dem scheiss rumzuärgern und den so nur noch weiter zu verbreiten, |
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:50 Uhr. |
Copyright ©2000-2024, Trojaner-Board