Virus Alert unten rechts, Festplatten c und d verschwunden! UPDATE der LOGs

#0
31.05.2008, 15:20
...neu hier

Beiträge: 8
#1 Hallo,

Ich habe jetzt schon mehrere Beiträge gelesen, die das selbe problem hatten wie ich aber immer wurde eine etwas andere Lösung angeboten. Kann mir jemand helfen? Hier mein Log: BESTEN DANK

So alos hier der Log fom combofix:

ComboFix 08-05-29.1 - Martin 2008-05-31 15:30:25.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.567 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Martin\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Martin\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Martin\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\cookies.ini
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\system32\bsjcpkit.ini
C:\WINDOWS\system32\fedpujgi.dll
C:\WINDOWS\system32\igjupdef.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\QAaHNqss.ini
C:\WINDOWS\system32\QAaHNqss.ini2
C:\WINDOWS\system32\shquevye.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-31 ))))))))))))))))))))))))))))))
.

2008-05-31 15:27 . 2008-05-31 15:27 <DIR> d-------- C:\Programme\CCleaner
2008-05-31 15:17 . 2008-05-31 15:17 <DIR> d-------- C:\Programme\Trend Micro
2008-05-31 09:15 . 2008-05-31 09:15 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-31 09:15 . 2008-05-31 09:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-28 20:28 . 2003-03-19 08:20 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-05-28 20:28 . 2003-03-19 05:05 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-05-02 11:29 . 2008-05-02 11:29 <DIR> d-------- C:\WINDOWS\Sun
2008-05-02 11:29 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-02 11:28 . 2008-05-02 11:29 <DIR> d-------- C:\Programme\Java
2008-05-02 11:28 . 2008-05-02 11:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-31 13:09 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AVG7
2008-04-10 13:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-16 12:46 58,868,336 ----a-w C:\Programme\avg75iswt_503a1224.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{27796771-8D05-4EE6-B478-43CE759F2106}]
C:\WINDOWS\system32\ssqOeDSi.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{355D7733-76E2-4146-9BB2-C761006CE06B}]
C:\WINDOWS\boqnrwdmwet.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37D00CD6-4FF0-4004-9A5B-D0D777B09EEF}]
C:\WINDOWS\boqnrwdmmfv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BF7694BE-9FE5-4213-B632-F7F5B16E7F56}]
C:\WINDOWS\system32\ssqNHaAQ.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 19:05 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-28 07:55 98304]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-28 07:52 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-28 07:55 118784]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 C:\WINDOWS\RTHDCPL.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"WpsRePsw"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE" [2000-01-27 01:00 32256]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-17 18:56 579584]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-10 16:58 219136]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{27796771-8D05-4EE6-B478-43CE759F2106}"= C:\WINDOWS\system32\ssqOeDSi.dll [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SrvcRom"= {631789fb-3930-4d24-8901-3610a9279ef0} - C:\WINDOWS\Resources\SrvcRom.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqOeDSi]
ssqOeDSi.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

R2 WpsPeppy;WpsPeppy;C:\WINDOWS\system32\DRIVERS\WpsPeppy.SYS [2000-01-27 01:00]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 15:32:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\spool\drivers\w32x86\2\WpsC3Psw.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-31 15:33:21 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-31 13:33:18

10 Verzeichnis(se), 77,895,946,240 Bytes frei
13 Verzeichnis(se), 77,938,802,688 Bytes frei

118 --- E O F --- 2008-05-31 06:49:09

Hiijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37, on 31.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {27796771-8D05-4EE6-B478-43CE759F2106} - C:\WINDOWS\system32\ssqOeDSi.dll (file missing)
O2 - BHO: QXK Olive - {355D7733-76E2-4146-9BB2-C761006CE06B} - C:\WINDOWS\boqnrwdmwet.dll (file missing)
O2 - BHO: QXK Olive - {37D00CD6-4FF0-4004-9A5B-D0D777B09EEF} - C:\WINDOWS\boqnrwdmmfv.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {BF7694BE-9FE5-4213-B632-F7F5B16E7F56} - C:\WINDOWS\system32\ssqNHaAQ.dll (file missing)
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam
=1209720591_034
215bbe544fefef704a60c10711fe2&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/J
SCDL/jre/6u5-b19/jinstall-
6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: ssqOeDSi - ssqOeDSi.dll (file missing)
O21 - SSODL: SrvcRom - {631789fb-3930-4d24-8901-3610a9279ef0} - C:\WINDOWS\Resources\SrvcRom.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

--
End of file - 6337 bytes

Log des datfind.bat

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 40CE-E6A3

Verzeichnis von C:\WINDOWS\system32

29.05.2008 20:40 0 clkcnt.txt
17.05.2008 16:25 13'646 wpa.dbl
09.05.2008 23:35 16'863'864 MRT.exe
02.05.2008 11:29 6'641 jupdate-1.6.0_05-b13.log
10.04.2008 15:56 113'376 FNTCACHE.DAT
30.03.2008 12:30 67'696 perfc009.dat
30.03.2008 12:30 449'248 perfh007.dat
30.03.2008 12:30 432'992 perfh009.dat
30.03.2008 12:30 80'474 perfc007.dat
30.03.2008 12:30 1'043'642 PerfStringBackup.INI
25.03.2008 06:51 187'168 msjint40.dll
25.03.2008 06:51 621'344 mswstr10.dll
25.03.2008 06:50 355'104 msxbde40.dll
25.03.2008 06:50 838'432 mswdat10.dll
25.03.2008 06:50 264'992 mstext40.dll
25.03.2008 06:50 559'904 msrepl40.dll
25.03.2008 06:50 322'336 msrd3x40.dll
25.03.2008 06:50 432'928 msrd2x40.dll
25.03.2008 06:50 355'104 mspbde40.dll
25.03.2008 06:50 219'936 msltus40.dll
25.03.2008 06:50 248'608 msjtes40.dll
25.03.2008 06:50 60'192 msjter40.dll
25.03.2008 06:50 355'112 msjetoledb40.dll
25.03.2008 06:50 1'516'568 msjet40.dll
25.03.2008 06:50 326'432 msexcl40.dll
25.03.2008 06:50 518'944 msexch40.dll
20.03.2008 10:03 1'845'376 win32k.sys
01.03.2008 18:24 3'591'680 mshtml.dll
01.03.2008 14:54 233'472 webcheck.dll
01.03.2008 14:54 826'368 wininet.dll
01.03.2008 14:54 44'544 pngfilt.dll
01.03.2008 14:54 105'984 url.dll
01.03.2008 14:54 1'159'680 urlmon.dll
01.03.2008 14:54 671'232 mstime.dll
01.03.2008 14:54 193'024 msrating.dll
01.03.2008 14:54 102'912 occache.dll
01.03.2008 14:54 478'208 mshtmled.dll
01.03.2008 14:53 52'224 msfeedsbs.dll
01.03.2008 14:53 459'264 msfeeds.dll
01.03.2008 14:53 27'648 jsproxy.dll
01.03.2008 14:53 1'831'424 inetcpl.cpl
01.03.2008 14:53 44'544 iernonce.dll
01.03.2008 14:53 267'776 iertutil.dll
01.03.2008 14:53 6'066'176 ieframe.dll
01.03.2008 14:53 384'512 iedkcs32.dll
01.03.2008 14:53 153'088 ieakeng.dll
01.03.2008 14:53 230'400 ieaksie.dll
01.03.2008 14:53 133'120 extmgr.dll
01.03.2008 14:53 214'528 dxtrans.dll
01.03.2008 14:53 63'488 icardie.dll
01.03.2008 14:53 383'488 ieapfltr.dll
01.03.2008 14:53 124'928 advpack.dll
01.03.2008 14:53 347'136 dxtmsft.dll

Danke für eure Hilfe.
Dieser Beitrag wurde am 31.05.2008 um 15:40 Uhr von Rudi79 editiert.
Seitenanfang Seitenende
31.05.2008, 15:40
Moderator

Beiträge: 5694
#2 Hallo Rudi79

>>
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

VIRUS ALERT!

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Öffne Texteditor - Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint der Texteditor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere diesen Code rein:

Zitat

reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" >RegQuery.txt
notepad RegQuery.txt
3. Speichere die Datei als fix.bat auf Desktop (abspeichern unter Dateityp "Alle Dateien")
4. Doppelklick auf die Datei fix.bat, dann wird eine RegQuery.txt Datei erstellt,den Inhalt hier posten


Gruss Swiss
Seitenanfang Seitenende
31.05.2008, 15:46
...neu hier

Themenstarter

Beiträge: 8
#3 wart mal da war ein fehler drin von meiner seite jetzt stimmts:

So log vom regsearch

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 31.05.2008 15:48:15 for strings:
; 'virus alert!
'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

und das zweite:
! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun REG_DWORD 0x91
NoDrives REG_DWORD 0x0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Dieser Beitrag wurde am 31.05.2008 um 15:50 Uhr von Rudi79 editiert.
Seitenanfang Seitenende
31.05.2008, 15:55
Moderator

Beiträge: 5694
#4 >>
CCleaner anwenden
http://www.virus-protect.org/ccleaner.html

>>
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {27796771-8D05-4EE6-B478-43CE759F2106} - C:\WINDOWS\system32\ssqOeDSi.dll (file missing)
O2 - BHO: QXK Olive - {355D7733-76E2-4146-9BB2-C761006CE06B} - C:\WINDOWS\boqnrwdmwet.dll (file missing)
O2 - BHO: QXK Olive - {37D00CD6-4FF0-4004-9A5B-D0D777B09EEF} - C:\WINDOWS\boqnrwdmmfv.dll (file missing)
O2 - BHO: (no name) - {BF7694BE-9FE5-4213-B632-F7F5B16E7F56} - C:\WINDOWS\system32\ssqNHaAQ.dll (file missing)
O20 - Winlogon Notify: ssqOeDSi - ssqOeDSi.dll (file missing)
«
wende smitfraudfix Option 2 an
http://virus-protect.org/artikel/tools/smitfrautfix.html

>>
wende rvaxo im abgesicherten Modus (oder im normalmodus) an + poste dann den report hier
http://virus-protect.org/artikel/tools/rvaxo.html


>>
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Und poste ein neues Log von Combofix

Gruss Swiss
Dieser Beitrag wurde am 31.05.2008 um 16:00 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
31.05.2008, 16:19
...neu hier

Themenstarter

Beiträge: 8
#5 ---RVAXO.exe Updated: 2008-05-29---first run---
Uninstallers:

Files found:
C:\WINDOWS\system32\clkcnt.txt

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

Malwarebytes' Anti-Malware 1.14
Datenbank Version: 807

16:15:18 31.05.2008
mbam-log-5-31-2008 (16-15-14).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 53100
Scan Dauer: 5 minute(s), 20 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76416-OEM-0042697-34758) -> No action taken.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\fedpujgi.dll.vir (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{CB517B6C-0148-4629-89AC-E95A43D77CE2}\RP44\A0108858.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Martin\Desktop\AdvancedCleaner Free.lnk (Rogue.Advanced.Cleaner) -> No action taken.


ComboFix 08-05-29.1 - Martin 2008-05-31 16:16:11.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.581 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-31 ))))))))))))))))))))))))))))))
.

2008-05-31 16:08 . 2008-05-31 16:08 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-31 16:08 . 2008-05-31 16:08 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Malwarebytes
2008-05-31 16:08 . 2008-05-31 16:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-31 16:08 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-31 16:08 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-31 16:07 . 2008-05-31 16:07 <DIR> d-------- C:\RVAXO
2008-05-31 16:06 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-31 16:06 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-31 16:03 . 2008-05-31 16:03 2,316 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-31 16:02 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-31 16:02 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-31 16:02 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-31 16:02 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-31 16:02 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-31 16:02 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-31 16:02 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-31 16:02 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-31 15:27 . 2008-05-31 15:27 <DIR> d-------- C:\Programme\CCleaner
2008-05-31 15:17 . 2008-05-31 15:17 <DIR> d-------- C:\Programme\Trend Micro
2008-05-31 09:15 . 2008-05-31 09:15 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-31 09:15 . 2008-05-31 09:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-28 20:28 . 2003-03-19 08:20 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-05-28 20:28 . 2003-03-19 05:05 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-05-02 11:29 . 2008-05-02 11:29 <DIR> d-------- C:\WINDOWS\Sun
2008-05-02 11:29 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-02 11:28 . 2008-05-02 11:29 <DIR> d-------- C:\Programme\Java
2008-05-02 11:28 . 2008-05-02 11:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-31 13:09 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AVG7
2008-04-10 13:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-26 11:59 294,912 ----a-w C:\WINDOWS\system32\msctf.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2007-12-16 12:46 58,868,336 ----a-w C:\Programme\avg75iswt_503a1224.exe
.

((((((((((((((((((((((((((((( snapshot@2008-05-31_15.33.08.79 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-31 13:32:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-31 14:07:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-01-15 20:12:48 296,336 ----a-w C:\WINDOWS\Downloaded Program Files\rufsi.dll
- 2008-05-31 13:08:48 4,932 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\2\WpsHrc.BIN
+ 2008-05-31 14:07:39 4,932 ----a-w C:\WINDOWS\system32\spool\drivers\w32x86\2\WpsHrc.BIN
- 2008-05-31 13:08:48 4,932 ----a-w C:\WINDOWS\WPS\WpsHrc.BIN
+ 2008-05-31 14:07:39 4,932 ----a-w C:\WINDOWS\WPS\WpsHrc.BIN
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 19:05 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-28 07:55 98304]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-28 07:52 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-28 07:55 118784]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 C:\WINDOWS\RTHDCPL.exe]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"WpsRePsw"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE" [2000-01-27 01:00 32256]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-17 18:56 579584]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-10 16:58 219136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SrvcRom"= {631789fb-3930-4d24-8901-3610a9279ef0} - C:\WINDOWS\Resources\SrvcRom.dll [ ]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

R2 WpsPeppy;WpsPeppy;C:\WINDOWS\system32\DRIVERS\WpsPeppy.SYS [2000-01-27 01:00]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 16:16:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-31 16:17:19
ComboFix-quarantined-files.txt 2008-05-31 14:17:17
ComboFix2.txt 2008-05-31 13:33:22

11 Verzeichnis(se), 77,919,641,600 Bytes frei
14 Verzeichnis(se), 77,919,399,936 Bytes frei

108 --- E O F --- 2008-05-31 06:49:09

Gruss Rudi79
Seitenanfang Seitenende
31.05.2008, 16:27
Moderator

Beiträge: 5694
#6 >>
Lade folgede Datei bei www.Virustotal.com/de hoch und poste das Ergebnis:

C:\Programme\avg75iswt_503a1224.exe

Könnte ein Crack sein!!


>>
Bei Malwarebytes musst du das gefundene löschen.
No Action Taken bedeutete dass dies nicht gelöscht wurde.

Gruss Swiss
Seitenanfang Seitenende
31.05.2008, 16:37
...neu hier

Themenstarter

Beiträge: 8
#7 Die mit Malwarebytes gefundenen Dateien hab ich inzwischen gelöscht.

Das Hochladen der Datei wird wahrscheinlich etwas dauern, da diese 51 MB hat.

Gruss Rudi
Seitenanfang Seitenende
31.05.2008, 16:40
Moderator

Beiträge: 5694
#8 Dannach mach folgendes:
http://virus-protect.org/artikel/spyware/virusalert-remove.html

(Ab: "VIRUS ALERT!" entfernen )

Dies sollte auch noch weg: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SrvcRom"= {631789fb-3930-4d24-8901-3610a9279ef0} - C:\WINDOWS\Resources\SrvcRom.dll [ ]

Aber hier soll noch Sabina drüber schauen ;)

Gruss Swiss
Dieser Beitrag wurde am 31.05.2008 um 16:43 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
31.05.2008, 16:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Rudi79

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{27796771-8D05-4EE6-B478-43CE759F2106}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SrvcRom"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqOeDSi]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

««

falls VirusAlert! noch besteht, arbeite das ab, vor allem den Key in ProductId wieder an den richtigen Ort in der Registry bringen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId
http://virus-protect.org/artikel/spyware/virusalert-remove.html

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
RVAXO entfernen:
Öffne die Datei RVAXO auf deinem Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2008, 16:55
...neu hier

Themenstarter

Beiträge: 8
#10 Nun das Virus-alert logo unten recht ist zwar jetzt schon weg und ich kann wieder auf sämtliche Programme im Start menu zugreifen. Aber die diversen Scans finden ja noch immer wieder irgendwelche fehler und einträge.

Ich mach mal das was du mir gesagt hast sobald die Datei hochgeladen ist und poste dann wieder

gruss Rudi
Seitenanfang Seitenende
31.05.2008, 16:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 du musst den Key wieder in die Registry bringen, sonst ist dein XP- wertlos..kannst keine Windowsupdates mehr machen

Zitat

vor allem den Key in ProductId wieder an den richtigen Ort in der Registry bringen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId
http://virus-protect.org/artikel/spyware/virusalert-remove.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2008, 17:02
...neu hier

Themenstarter

Beiträge: 8
#12 Kann die Datei nicht hochladen, da es kommt die Mitteilung Bigger than max permited size,

ich mach dann mal mit dem vorletzten Eintrag von dir Sabrina weiter und poste dann wieder

Gruss rudi
Seitenanfang Seitenende
31.05.2008, 17:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 o-k-
wende also das script an, dann versuche laut anleitung den key wieder in die productId zu bekommen..........
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2008, 17:15
...neu hier

Themenstarter

Beiträge: 8
#14 Kleine Frage, ist bei mir evtl schon wieder alles ok? Denn ich hab jetzt das gemacht und regedit geöffnet.

dort zum entsprechenden Eintrag gegangen und dort ist schon ein Key eingegeben. Eigentlich sollte dort doch Virus alert stehen oder?

Ist jetzt der Müll von meinem PC weg?

Noch 2 kleine Zusatzfragen

1) Wie ist der auf den PC gelangt? ist der pc meiner eltern und die gehen nur mal auf google, gmx oder sonst so normale seiten

2) Gibts ein Antivirusprogramm das zu empfehlen wäre? bis jetzt hab ich avg benutzt.

Gruss rudi
Seitenanfang Seitenende
31.05.2008, 17:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 ««
ueberpruefe, ob der productkey "XXXX-XXX-XXXXXXX-XXXXX"
(die X stehen für die 20 Nummern und Buchstaben)
- hier eingetragen ist
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId

««
dann versuche die Windowsupdates zu machen + berichte, ob es klappt

««
wie das auf den rechner gekommen ist ??? ...oder ueber einen P2P-Client oder auf der falschen seite gesurft...
Dagegen gibt es schlecht einen Schutz, da es relativ neu ist... und zudem ständig variiert.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: