Alert Virus Beseitigen

#0
02.06.2008, 23:58
...neu hier

Beiträge: 2
#1 Hallo, ich bin heute das erstemal im Forum,habe auch diesen Virus. Habe leider
kein Wort verstanden wie man ihn wieder los wird. Kann mir das jemand mal
ganz einfach erklären?
Danke
Seitenanfang Seitenende
03.06.2008, 00:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Embah

wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

wende smitfraudfix Option 2 an
http://virus-protect.org/artikel/tools/smitfrautfix.html

«
wende rvaxo im abgesicherten Modus (oder im normalmodus) an + poste dann den report hier
http://virus-protect.org/artikel/tools/rvaxo.html

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html

----------------------------------------------------------

wenn dann alles sauber ist, (nach dem log von Combofix werde ich noch ein script erstellen)
dann muss die productId wieder in die registry gebracht werden
http://board.protecus.de/t33739.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.06.2008, 19:34
...neu hier

Themenstarter

Beiträge: 2
#3 ---RVAXO.exe Updated: 2008-05-29---first run---
Uninstallers:

Files found:
C:\WINDOWS\system32\WEgiPqss.ini
C:\WINDOWS\system32\WEgiPqss.ini2
C:\WINDOWS\rs.txt
C:\WINDOWS\atfxqogp.dll
C:\WINDOWS\vltdfabw.dll
C:\WINDOWS\wininit.ini
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\lsprst7.tgz
C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\SYSTEM32\SSPRS.DLL

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:
C:\Dokumente und Einstellungen\Klaus-Jrgen Br„uer\Anwendungsdaten\seekmo

--------------RVAXO.exe finished----------------
Seitenanfang Seitenende
03.06.2008, 22:52
Moderator

Beiträge: 5694
#4 Hallo Embah

Poste noch die restlichen Logs welche Sabina erwähnte.

Gruss Swiss
Seitenanfang Seitenende
12.06.2008, 11:46
...neu hier

Beiträge: 1
#5 Hallo bin neu hier...!

Habe auch das problem mit Virus Alert!
Hab mir hier alles zu dem thema schon durchgelesen!

Jetzt mein Problem, einige programm zugriffe funktionieren nicht mehr!
Laufwerk C und D, die desktop optionen und diverse andere programme werden nicht mehr angezeigt, habe ich also keinen direkten zugriff mehr drauf!

Und so wie ich das hier verstanden habe, brauche ich die desktop option um diverse Cleaning durchzuführen!?

Das hier kam bei dem Scanning mit SmitFraudFix raus, hoffe ihr könnt damit was anfangen!?

SmitFraudFix v2.323

Scan done at 11:42:26,87, 12.06.2008
Run from C:\Dokumente und Einstellungen\Nicole\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COOLSP~1\PERSON~1\PID.EXE
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Nicole


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Nicole\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Nicole\FAVORI~1

C:\DOKUME~1\Nicole\FAVORI~1\Error Cleaner.url FOUND !
C:\DOKUME~1\Nicole\FAVORI~1\Privacy Protector.url FOUND !
C:\DOKUME~1\Nicole\FAVORI~1\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\Nicole\Desktop\Error Cleaner.url FOUND !
C:\DOKUME~1\Nicole\Desktop\Privacy Protector.url FOUND !
C:\DOKUME~1\Nicole\Desktop\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1\\mzvkbd.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce MCP Networking Controller - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7CDD077A-3F6C-4E4C-842E-47AF78E013F8}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7CDD077A-3F6C-4E4C-842E-47AF78E013F8}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7CDD077A-3F6C-4E4C-842E-47AF78E013F8}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Hoffe ihr könnt mir helfen!!!!
Seitenanfang Seitenende
12.06.2008, 12:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Nicki68

als erstes wende Option 2 von smitfraudfix an. - so wird nicht nur "gefunden", sondern auch gelöscht

dann:
«
wende rvaxo im abgesicherten Modus (oder im normalmodus) an + poste dann den report hier
http://virus-protect.org/artikel/tools/rvaxo.html

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html

----------------------------------------------------------

wenn dann alles sauber ist, (nach dem log von Combofix werde ich noch ein script erstellen)
dann muss die productId wieder in die registry gebracht werden
http://board.protecus.de/t33739.htm
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: