VirusBurst&Maxifiles

19.11.2006, 12:15

Asmodan

...neu hier

Beiträge: 1

#1 Hallo,

ich hab vor kurtzem festgestellt, dass mein Laptop einige Zeit ohne Firewall gelaufen ist. Nach ersten Suchen wurden dann bis zu 1200 infizierte Dateien gefunden. Nach mühsamen Suchen und zahllosen anti-vir & anti-spyware programmen wurden es dann langsam weniger probleme. Aber manche sind nach wie vor da :-(

Jetzt hab ich voller Staunen das Forum hier gefunden und gedacht ich versuch mal mein Glück :-)

Im Anhang stecken die Scanergebnisse

So und jetzt nen paar Vermutungen noch dazu, was ich noch auf dem Pc haben könnte, bzw. was gefunden und sich weigert entfernt zu werden :-)

Trojan. Downloader .Small .cml
und zwar : HKLM\Software\Microsoft\Mssmgr(-,##,##brnd,##bstv,##data,
##lid,##lstv,##mslist,##pstv,##rid,##sclist,##sslist,##sstv)

und HKLM\Software\Microsoft\\Windows NT\Current Version\\Winlogon\Notify\wincqt32(-,##,##Asynchronous,##DIIName,
##Impersonate,##Shutwodn,##Startup)

so und mediafiles:HKLM\Software\Microsoft\\Windows\Current Version\\Uninstall\Yazzle1162Oin(-,##,##DisplayName,##UninstallString)

So mühsahmst alles abgepinselt :-)
Hoffe du kannst was damit anfangen.
Danke schon mal, dass du dir ueberhaupt die muehe machst es anzuschaun :-)

Zitat

Verzeichnis von C:\WINDOWS\system32

19.11.2006 11:32 8.280 ikhcore.log
19.11.2006 11:18 0 tmp.txt
19.11.2006 11:18 2.454 tmp.reg
19.11.2006 10:48 610.086 dccdd.ini2
19.11.2006 00:21 587.439 dccdd.bak2
07.11.2006 20:25 607.571 dccdd.tmp
04.11.2006 21:07 601.208 dccdd.ini
04.11.2006 21:07 601.208 dccdd.bak1

O2 - BHO: (no name) - {31400A88-F005-4715-9391-4E67E550BF9C} - C:\WINDOWS\system32\ddccd.dll (file missing)

O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\mchwaeqr.dll (file missing)

O4 - HKCU\..\Run: [Sdso] "C:\PROGRA~1\SMBOLS~1\wuauboot.exe" -vt yazb

O20 - Winlogon Notify: wincqt32 - wincqt32.dll (file missing)

---------

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
Sdso

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccd
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wincqt32

Anhang: datfind+combofix+hijackthis.txt

19.11.2006, 13:45

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Asmodan

««
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run|Sdso

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1122Oin
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccd
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wincqt32
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{31400A88-F005-4715-9391-4E67E550BF9C}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F18F04B0-9CF1-4b93-B004-77A288BEE28B}

Files to delete:
C:\WINDOWS\system32\dccdd.ini2
C:\WINDOWS\system32\dccdd.dll
C:\WINDOWS\system32\dccdd.bak2
C:\WINDOWS\system32\dccdd.tmp
C:\WINDOWS\system32\dccdd.ini
C:\WINDOWS\system32\dccdd.bak1

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1