Trojaner und Worms ...Voll mit Viren

#16 auf combofix ziehen + die combofix anwenden... es passiert nix ? Hast du die txt korrekt erstellt (unter "alle Dateien abspeichern" ) ?
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Ja, ich hab sie als 'alle dateien' abgespeichert, aber Combofix macht keinen Scan. Und wenn ich die anderen Schritte ab Combofix/U mache, erhalte ich folgendes...

Meldung:
SAV32.CLL.EXE hat ein Problem festgestellt und muß beendet werden
ftp.exe hat ein Problem festgestellt und muß beendet werden
----------------------------------------------------------------
__________
Wer keine Angst hat, hat keine Phantasie...!

#18 Hallo,

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\system32\ftpupd.exe
C:\WINDOWS\system32\i
C:\WINDOWS\system32\wmsoft47657.exe
C:\WINDOWS\BM7f86f636.xml
C:\lox.exe

Klicke auf den Roten MoveIt!
«
poste, was rechts im Fenster erscheint

««
scanne mit dr.web und poste dann das log (abkopieren nur, was an viren gefunden/gelöscht wurde)
scanne unbedingt im abgesicherten modus
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 komme ich nun automatisch in den abgesicherten, oder muß ich ueber F8 rein
__________
Wer keine Angst hat, hat keine Phantasie...!

#20

Zitat

OTMoveIt.
Klicke auf den Roten MoveIt!

poste, was rechts im Fenster erscheint

««
über F8, klar...geht ja nicht anders
__________
MfG Sabina

rund um die PC-Sicherheit

#21 OTMoveIt.


File/Folder C:\WINDOWS\system32\ftpupd.exe not found.
C:\WINDOWS\system32\i moved successfully.
File/Folder C:\WINDOWS\system32\wmsoft47657.exe not found.
C:\WINDOWS\BM7f86f636.xml moved successfully.
C:\lox.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05122008_130904
-------------------------

File/Folder C:\WINDOWS\system32\ftpupd.exe not found.
File/Folder C:\WINDOWS\system32\i not found.
File/Folder C:\WINDOWS\system32\wmsoft47657.exe not found.
File/Folder C:\WINDOWS\BM7f86f636.xml not found.
File/Folder C:\lox.exe not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05122008_131118
__________
Wer keine Angst hat, hat keine Phantasie...!

#22 ««
scanne mit dr.web und poste dann das log (abkopieren nur, was an viren gefunden/gelöscht wurde)
scanne unbedingt im abgesicherten modus
http://virus-protect.org/cureit.html

«
wende windowsscan an + poste das log hier
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#23 dr.web

setup50.exe;c:\programme\outlook express;Win32.Virut.5;Desinfiziert.;
explorer.exe;c:\windows;Win32.Virut.5;Desinfiziert.;
unregmp2.exe;c:\windows\inf;Win32.Virut.5;Desinfiziert.;
mrofinu1001186.exe;c:\windows;Win32.Virut.5;Desinfiziert.;
mrofinu1001186.exe;c:\windows;Trojan.DownLoader.origin;Nicht desinfizierbar.Verschoben.;
cisvc.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
clipsrv.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
csrs.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
dllhost.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
dmadmin.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
ie4uinit.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
iexplore.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
iexplore.exe;c:\windows\system32;BackDoor.IRC.Sdbot.945;Gelöscht.;
imapi.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
imapi.exe;c:\windows\system32;Win32.Virut.9156;Nicht desinfizierbar.Verschoben.;
locator.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
logonui.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
mnmsrvc.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
msdtc.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
msdtc.exe;c:\windows\system32;Win32.Virut.9156;Nicht desinfizierbar.Verschoben.;
msiexec.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
netdde.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
netdde.exe;c:\windows\system32;Win32.Virut.9156;Nicht desinfizierbar.Verschoben.;
ntsd.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
ntsd.exe;c:\windows\system32;Win32.Virut.9156;Nicht desinfizierbar.Verschoben.;
regsvr32.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
rsvp.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
scardsvr.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
sessmgr.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
shmgrate.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
slserv.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
smlogsvc.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
ups.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
userinit.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
vssvc.exe;c:\windows\system32;Win32.Virut.5;Desinfiziert.;
winmgmt.exe;c:\windows\system32\wbem;Win32.Virut.5;Desinfiziert.;
wmiapsrv.exe;c:\windows\system32\wbem;Win32.Virut.5;Desinfiziert.;
-------------------------------------

windowsscan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

12.05.2008 mrofinu1001186.exe 13 57:47.104
12.05.2008 netcfg.log 13 55:3.776
12.05.2008 WindowsUpdate.log 13 54:777.571
12.05.2008 0.log 13 54:0
12.05.2008 bootstat.dat 13 54:2.048
12.05.2008 SchedLgU.Txt 13 53:32.554
12.05.2008 setupapi.log 13 50:90.064
12.05.2008 awprotoc.txt 13 41:510
12.05.2008 ntbtlog.txt 13 38:309.288
11.05.2008 system.ini 23 28:227
08.05.2008 spupdsvc.log 21 27:36.834
08.05.2008 WMSysPrx.prx 21 26:299.552
08.05.2008 spupdsvc.log.1.log 21 25:187
08.05.2008 spuninst.log 21 22:517.421
08.05.2008 updspapi.log 21 20:164.524
08.05.2008 svcpack.log 21 05:1.322.430
08.05.2008 SEC1349.tmp 19 22:4.146
08.05.2008 imsins.log 19 22:2.603
08.05.2008 ocgen.log 19 22:5.990
08.05.2008 ocmsn.log 19 22:373
08.05.2008 tsoc.log 19 22:3.737
08.05.2008 msgsocm.log 19 22:563
08.05.2008 FaxSetup.log 19 22:12.367
08.05.2008 iis6.log 19 22:1.138
08.05.2008 cmsetacl.log 19 11:200
08.05.2008 setuplog.txt 19 11:719
08.05.2008 sessmgr.setup.log 19 10:270


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

12.05.2008 tlaltqlj.dll 13 56:249.856
12.05.2008 antiv.exe 13 56:73.216
12.05.2008 TFTP2212 10 27:0
12.05.2008 TFTP320 10 14:0
12.05.2008 TFTP3756 09 53:0
12.05.2008 veai.exe 08 42:30.720
12.05.2008 zjik.exe 08 42:23.040
12.05.2008 jiccxcv.exe 08 40:30.720
12.05.2008 tecstw.exe 08 36:64.902
12.05.2008 TFTP1948 00 25:0
12.05.2008 TFTP376 00 23:0
11.05.2008 c.bat 23 34:59
11.05.2008 .pif 23 34:67
11.05.2008 jupdate-1.6.0_05-b13.log 00 40:6.641
10.05.2008 FNTCACHE.DAT 22 05:90.296
08.05.2008 perfh009.dat 21 27:311.604
08.05.2008 perfc009.dat 21 27:39.992
08.05.2008 perfh007.dat 21 27:316.594
08.05.2008 perfc007.dat 21 27:48.156
08.05.2008 PerfStringBackup.INI 21 27:723.744
08.05.2008 wmpscheme.xml 21 25:25.065
08.05.2008 amcompat.tlb 21 25:16.832
08.05.2008 nscompat.tlb 21 25:23.392
08.05.2008 spdwnwxp.log 21 20:396
08.05.2008 SPR0032E.TMP 20 59:983.040
07.05.2008 clkcnt.txt 23 49:0
07.05.2008 TuneUpDefragService.exe 01 31:354.560
07.05.2008 h323log.txt 00 14:0
06.05.2008 BSETUP.TMP 23 55:3
06.05.2008 wpa.dbl 23 48:2.206
06.05.2008 $winnt$.inf 23 23:249
06.05.2008 CONFIG.NT 23 20:2.951
06.05.2008 WindowsLogon.manifest 23 18:488
06.05.2008 logonui.exe.manifest 23 18:488
06.05.2008 cdplayer.exe.manifest 23 18:749
06.05.2008 sapi.cpl.manifest 23 18:749
06.05.2008 wuaucpl.cpl.manifest 23 18:749
06.05.2008 nwc.cpl.manifest 23 18:749
06.05.2008 ncpa.cpl.manifest 23 18:749
06.05.2008 emptyregdb.dat 23 17:21.740
14.04.2008 spdwnwxp.exe 07 53:17.408
04.04.2008 uxtuneup.dll 14 51:28.416
22.02.2008 javaws.exe 02 33:151.552
22.02.2008 javacpl.cpl 02 33:69.632
22.02.2008 javaw.exe 01 23:147.456
22.02.2008 java.exe 01 23:147.456
10.08.2007 spupdsvc.exe 20 44:26.488


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****


127.0.0.1 dl2.teenpassage.com
127.0.0.1 ntkrnlpa.info



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****




Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 12.05.2008 um 13:59:09,50 ***

-------------------------------------------------------------

Nachtrag:

seit ich dies alles durchgefuehrt habe, springen nun laufend Warnfenster auf. Ich habe nicht das Gefuehl das es besser wird :-(
Hier sind die zwei nervigsten... und lieben Dank fuer deine Muehe


Buffer overrun detected:

Programm:C:/ WINDOWS/EXPLORER.EXE

A buffer overrun has detected which has corrupted the program's internal state. The program cannot Safely Continue execution and must now be terminated.
-------------------------------------------
Windows Sercurity Center

UltimateFixer ON
Systemdefender ON
Sycleaner ON
-------------------------------------------
__________
Wer keine Angst hat, hat keine Phantasie...!

#24 Hallo,

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\mrofinu1001186.exe
C:\WINDOWS\system32\tlaltqlj.dll
C:\WINDOWS\system32\antiv.exe
C:\WINDOWS\system32\TFTP2212
C:\WINDOWS\system32\TFTP320 1
C:\WINDOWS\system32\TFTP3756
C:\WINDOWS\system32\veai.exe
C:\WINDOWS\system32\zjik.exe
C:\WINDOWS\system32\jiccxcv.exe
C:\WINDOWS\system32\tecstw.exe
C:\WINDOWS\system32\TFTP1948
C:\WINDOWS\system32\TFTP376
C:\WINDOWS\system32\c.bat
C:\WINDOWS\system32\.pif

Klicke auf den Roten MoveIt!
«
poste, was rechts im Fenster erscheint +

HijackThis
Do a system scan only
*Config
*Misc Tools
*öffne(open) Hosts file Manager

lösche alles , lasse nur stehen:
127.0.0.1 localhost (-- dann speichern)

das muss RAUS !!!!!!!
127.0.0.1 dl2.teenpassage.com
127.0.0.1 ntkrnlpa.info




starte den Rechner neu

--------------------------------------------------------------------

noch mal
wende windowsscan an + poste das log hier
http://virus-protect.org/artikel/tools/windowsscan.html

__________
MfG Sabina

rund um die PC-Sicherheit

#25 Meine Empfehlung von Posting 2 bleibt bestehen. Waerend ihr versucht malware zu entfernen, kommt immer neue dazu. Erschwerend kommt hinzu, das eine Virut Infektion vorliegt.

Spar dir die Muehe den Rechner reinigen zu wollen. Du haettest den Rechner inzwischen schon 5 Mal sauber neu aufsetzen koennen. Derzeit ist der Rechner noch extrem verseucht und gefaehrdest so auch andere User.
__________
MfG Ralf
SEO-Spam Hunter

#26 Es beginnt auch allmaehlich stressig zu werden.

Aber wie ich beim ersten Posting schon geschrieben habe.
Irgendwie bekomme ich die Platte nicht ganz leer um sauber neu aufzusetzen

Und das schlimmste ist, ich weiß nicht warum.

Ich werde mich nochmals muehen, ihn neu aufzusetzen...

Sabina, ich danke dir fuer die hilfe
__________
Wer keine Angst hat, hat keine Phantasie...!

#27 Das Problem ist, das du KEINE der Dateien, die auf deinem Rechner waren starten darfst. Auch keine auf deinen Disketten oder usb Sticks! Du musst dir alle Programme von CD oder einem Rechner neu holen. Dazu gehoert auch das SP3!
__________
MfG Ralf
SEO-Spam Hunter

#28 Ich bin wieder daaaa... Habe den PC heute weg gebracht zum sichern und aufsetzen... und siehe da, nach anfaenglichen Schwierigkeiten, ist alles wieder bestens...

Danke fuer die schnelle und freundliche Hilfe
__________
Wer keine Angst hat, hat keine Phantasie...!