virus.win32.virut.n entfernen |
||
---|---|---|
#0
| ||
20.06.2008, 18:13
...neu hier
Beiträge: 3 |
||
|
||
20.06.2008, 20:51
Moderator
Beiträge: 7805 |
#2
Also eine Virut infektion bedeutet rechner neu aufsetzen und Passworte aendern, was anderes hilft nicht.
Ich kann mir nicht vorstellen, das die Aussage vom KAV Support so gemeint war. Koenntest du uns die Quelle des Kasperskys supports nennen? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.06.2008, 11:19
...neu hier
Themenstarter Beiträge: 3 |
#3
Ja, ich habe eine Email an den technischen Support von Kaspersky geschrieben. Support@kaspersky.de, der mir dann diesen Link zu einer Anleitung auf dieser Seite geschickt hat: http://board.protecus.de/t20820.htm
Er hat geschrieben: Sehr geehrter Kunde, hierbei handelt es sich um keinen Virus, sondern ein Anti-Spyware-Tool, das offiziell zur Verfügung steht bzw. verkauft wird. Daher dürfen die Antiviren-Hersteller dieses aus juristischen Gründen nicht als Virus bezeichnen. Folgen Sie bitte dieser Anleitung um die Software von Ihrem Computer zu entfernen: http://board.protecus.de/t20820.htm Wie gesagt, hat nicht geklappt. Sehr seltsam, ich werde den Rechner aber wahrscheinlich dennoch neu aufsetzen. Müsste eh mal wieder gemacht werden. Gruß, Corinna |
|
|
||
21.06.2008, 12:29
Moderator
Beiträge: 7805 |
#4
Dann hast du eine andere Frage gestellt, denn Virut ist ein echter Virus. Kannst du auch schon an der Sigcheckzeile im Hijacktis log sehen. Zumindest diese Dateien sind mit Virut infiziert, aber es werden etliche mehr sein. CTFMON hat normalerweise eine groesse von ca 15 kb deine infizierte hat schon 23 kb.
Wichtig ist hier beim neu aufsetzen, das keine alte ausfuehrbare Datei mit in das neue System uebernommen wird. Auch ist vor dem ersten Onlinegang das SP3 fuer XP zu installieren, da sonst Virut und co(bei dir diese TFTP Dateien) ueber Sicherheitsluecken sofort dein System wieder infizieren! Siehe u.a. auch hier: http://board.protecus.de/t13020.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.06.2008, 18:28
...neu hier
Themenstarter Beiträge: 3 |
#5
Nee, die richtige Frage hab ich schon gestellt.
Die Email lautete: Gesendet: Mittwoch, 18. Juni 2008 20:21 An: DE Support Betreff: virus.win32.virut.n Guten Tag, ich habe auf Ihrer Seite einen Onlinescan durchführen lassen und bin dabei auf einen Virus gestoßen, zu dem es keine Beschreibung gab. Das Problem an dem Virus ist, dass er Exe-Dateien befällt, was scheinbar dazu führt, dass bestimmte Programme nicht mehr ausgeführt werden können. Zumindest war es mir nicht möglich, die Testversion von Kaspersky zu installieren. Antivir hat ebenfalls nicht geklappt. Ich hoffe, dass Sie mir weiterhelfen können. Vielen Dank, freundliche Grüße, Corinna aber trotzdem danke. Ich wollte das auf jeden Fall nochmal deutlich machen, weil es ja tatsächlich so sein kann, dass der Virenscanner das falsch erkennt, obwohl es garnicht "böse" ist. Die müssten das doch eigentlich wissen? Naja wie gesagt: Entfernung hat nicht funktioniert und dann werde ich den Rechner wohl neu aufsetzen müssen. Gruß |
|
|
||
21.06.2008, 19:14
Moderator
Beiträge: 7805 |
#6
Da muss ich mich eher entschuldigen, denn du hast die "richtige" Frage gestellt. Keine Ahnung, wie der Support auf die Antwort gekommen ist!?
Aber egal, ums neu Aufsetzen kommst du leider nicht herum, da du den virut nie 100%ig aus den infizierten Dateien bekommst und das wiederherstellen durch saubere Kopien dauert 3 mal so lange, wie das System komplett neu aufzusetzen. Halte dich bitte etwas an diese Anleitung http://board.protecus.de/t13020.htm Falls du mal Probleme mit deinem KAV haben solltest, kannst du dich auch im KAV eigenen Supportforum durcharbeiten http://forum.kaspersky.com/index.php. Dort gibt es auch einen deutschen Forenteil. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
1. smitfraud.fix anwenden (option 1 und 2 ) - auch die Registry mitreinigen lassen
http://virus-protect.org/artikel/tools/smitfrautfix.html
2.Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html
Das Log, das mit Combofix erstellt wurde lautet:
ComboFix 08-06-19.4 - Sonstewas 2008-06-20 17:24:56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.83 [GMT 2:00]ausgeführt von:: C:\Dokumente und Einstellungen\Sonstewas\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\mdm.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-05-20 bis 2008-06-20 ))))))))))))))))))))))))))))))
.
2008-06-20 15:08 . 2004-02-05 06:31 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-20 15:08 . 2004-02-05 06:24 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-06-20 15:08 . 2004-02-05 06:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-20 15:08 . 2008-06-20 17:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-20 15:08 . 2004-02-05 06:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-20 15:08 . 2004-02-05 06:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-20 15:08 . 2004-02-05 06:24 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-20 15:08 . 2008-06-20 15:08 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-20 14:08 . 2008-06-20 15:56 3,714 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-20 14:07 . 2008-06-20 15:58 <DIR> d-------- C:\Programme\SmitfraudFix
2008-06-20 14:07 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-20 14:07 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-20 14:07 . 2008-05-29 09:35 96,256 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-20 14:07 . 2008-05-18 21:40 92,672 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-20 14:07 . 2008-06-15 15:28 91,648 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-06-20 14:07 . 2008-05-23 18:21 91,648 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-20 14:07 . 2003-06-05 21:13 65,536 --a------ C:\WINDOWS\system32\Process.exe
2008-06-20 14:07 . 2004-07-31 18:50 60,928 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-20 14:07 . 2007-10-04 00:36 35,328 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-19 17:51 . 2008-06-19 17:51 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-19 17:51 . 2008-06-19 17:51 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-18 21:26 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-18 21:26 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-18 21:26 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-18 21:26 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-18 21:25 . 2008-06-20 16:33 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-18 21:25 . 2008-06-18 21:25 <DIR> d-------- C:\Dokumente und Einstellungen\Sonstewas\Anwendungsdaten\PC Tools
2008-06-18 21:20 . 2008-06-20 09:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-18 21:05 . 2008-06-20 16:31 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-18 19:45 . 2008-06-18 19:50 <DIR> d-------- C:\Programme\Panda Security
2008-06-18 19:18 . 2008-06-18 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-06-12 11:24 . 2008-06-12 11:37 <DIR> d-------- C:\VIRUSfighter
2008-06-11 16:04 . 2008-06-11 16:04 1,113 --a------ C:\WINDOWS\mozver.dat
2008-06-11 15:53 . 2008-06-11 15:58 <DIR> d-------- C:\Dokumente und Einstellungen\Sonstewas\Anwendungsdaten\Azureus
2008-06-11 15:53 . 2008-06-11 15:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-06-11 15:51 . 2008-06-11 16:00 <DIR> d-------- C:\Programme\Azureus
2008-06-11 11:10 . 2008-06-11 11:10 <DIR> d-------- C:\Programme\DVD Shrink DE
2008-06-10 17:40 . 2008-06-12 11:20 <DIR> d-------- C:\Programme\Soulseek
2008-06-10 17:32 . 2008-06-10 17:32 <DIR> d-------- C:\Programme\DNA
2008-06-10 17:32 . 2008-06-20 17:24 <DIR> d-------- C:\Dokumente und Einstellungen\Sonstewas\Anwendungsdaten\DNA
2008-06-09 10:12 . 2008-06-10 13:23 <DIR> d-------- C:\DVDVideoSoft
2008-06-09 10:11 . 2008-06-09 10:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-06-09 10:11 . 2008-06-11 10:46 <DIR> d-------- C:\Programme\DVDVideoSoft
2008-06-07 14:53 . 2008-06-07 14:53 1,495,112 --a------ C:\Programme\install_flash_player.exe
2008-06-07 11:39 . 2008-06-09 09:53 <DIR> d-------- C:\Dokumente und Einstellungen\Sonstewas\dwhelper
2008-06-07 11:21 . 2008-06-07 11:21 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-07 11:20 . 2008-06-07 11:20 5,839,384 --a------ C:\Programme\Firefox Setup 2.0.0.14.exe
2008-06-06 12:51 . 2008-06-06 12:51 <DIR> d-------- C:\Programme\Virtools
2008-06-03 23:47 . 2008-06-18 21:20 <DIR> d-------- C:\Programme\Google
2008-06-03 18:08 . 2008-06-03 18:09 170,496 --a------ C:\WINDOWS\system32\wmsoft43504.exe
2008-06-03 18:00 . 2007-02-07 22:05 17,264 --a------ C:\WINDOWS\suecmdial.dll
2008-06-03 17:51 . 2008-06-03 17:51 178,176 -r-hs---- C:\WINDOWS\wiadss.exe
2008-06-03 17:50 . 2008-06-03 17:51 136,704 -ra------ C:\WINDOWS\system32\TFTP3336
2008-06-03 17:50 . 2008-06-03 18:08 79 --a------ C:\WINDOWS\system32\i
2008-06-03 17:15 . 2008-06-03 17:47 <DIR> d-------- C:\Programme\Alice
2008-06-03 16:44 . 2008-06-03 16:44 <DIR> d-------- C:\WINDOWS\provisioning
2008-06-03 16:44 . 2008-06-03 16:57 <DIR> d-------- C:\WINDOWS\peernet
2008-06-03 16:40 . 2008-06-03 16:40 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-06-03 16:36 . 2004-08-03 22:42 20,480 --a------ C:\WINDOWS\system32\sprecovr.exe
2008-06-03 16:34 . 2004-08-03 22:42 25,600 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-06-03 16:34 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002315_.tmp
2008-06-03 16:32 . 2001-08-23 16:00 4,186,256 --a------ C:\WINDOWS\system32\dllcache\luna.mst
2008-06-03 16:30 . 2008-06-03 16:57 <DIR> d-------- C:\WINDOWS\EHome
2008-06-03 16:30 . 2002-08-29 05:43 1,818,624 --a------ C:\WINDOWS\system32\dllcache\acgenral.dll
2008-06-03 16:30 . 2002-08-29 10:54 1,086,182 --a------ C:\WINDOWS\system32\dllcache\ntprint.cat
2008-06-03 16:30 . 2002-08-29 10:54 86,052 --a------ C:\WINDOWS\system32\dllcache\tabletpc.cat
2008-06-03 16:30 . 2002-08-29 10:54 31,405 --a------ C:\WINDOWS\system32\dllcache\fp4.cat
2008-06-03 16:30 . 2001-08-23 16:00 13,898 --a------ C:\WINDOWS\system32\dllcache\ims.cat
2008-06-03 16:30 . 2002-08-29 10:54 10,881 --a------ C:\WINDOWS\system32\dllcache\msmsgs.cat
2008-06-03 16:30 . 2002-08-29 10:54 7,369 --a------ C:\WINDOWS\system32\dllcache\mstsweb.cat
2008-06-03 16:26 . 2008-06-03 16:27 <DIR> d-------- C:\28df3326ffa74e7450
2008-06-03 16:22 . 2008-06-03 17:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2008-06-03 16:22 . 2008-06-03 16:22 111 --a------ C:\WINDOWS\telephon.ini
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 07:23 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-20 07:23 --------- d-----w C:\Programme\ANNO 1503
2008-06-10 22:05 189,990 --sh--r C:\WINDOWS\Fonts\wmsncs.exe
2008-05-28 14:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-04-28 11:53 --------- d-----w C:\Programme\KTool
2008-04-28 11:52 84,480 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-04-28 11:52 303,104 ------w C:\WINDOWS\Setup1.exe
2006-10-16 12:51 12,545,160 ----a-w C:\Programme\winamp53_full_bundle_emusic-7plus.exe
2006-10-16 12:48 36,656,704 ----a-w C:\Programme\iTunesSetup.exe
2006-05-17 05:39 23,825,032 ----a-w C:\Programme\Adobe Reader 7.0.8 de.exe
2005-03-31 21:17 53,248 -c--a-w C:\Programme\Uninstall_CDS.exe
2001-09-17 18:36 921,600 ----a-w C:\Programme\Snes9XW.exe
2001-09-17 18:20 103,884 ----a-w C:\Programme\CHANGES.TXT
2001-09-13 16:44 40,960 ----a-w C:\Programme\README.TXT
2001-09-12 07:03 874,496 ----a-w C:\Programme\Snes9XW.dll
2001-09-12 06:57 74,240 ----a-w C:\Programme\fmod.dll
1999-04-29 20:00 99,840 -c--a-w C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
1999-04-29 20:00 70,144 -c--a-w C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
1999-04-29 20:00 48,640 -c--a-w C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
1999-04-29 20:00 31,744 -c--a-w C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
1999-04-29 20:00 186,368 -c--a-w C:\Programme\Gemeinsame Dateien\IRAREG.DLL
1999-04-29 20:00 17,920 -c--a-w C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
.
------- Sigcheck -------
2002-08-29 05:43 1016832 9f3e41834a4eea9f37a4994f00b67f75 C:\WINDOWS\explorer.exe
2002-08-29 05:43 1016832 a05de9a6d1e16a5190c874c0964150bb C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2002-08-29 05:43 1016832 3b7a616485bc696ff2e605b74ae23b27 C:\WINDOWS\system32\dllcache\explorer.exe
2002-08-29 05:43 23040 61c9454cef47542377b2faabd5e2b8bb C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2002-08-29 05:43 23040 c662c0c5d8e96f0abd8454fdc474132c C:\WINDOWS\system32\ctfmon.exe
2002-08-29 05:43 23040 56a1e495546f903acacbfaea24bc59d1 C:\WINDOWS\system32\dllcache\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 05:43 23040]
"PowerBar"="" []
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-06-10 17:32 289088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="C:\WINDOWS\htpatch.exe" [ ]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 118784]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 13:35 348160]
"UMonit"="C:\WINDOWS\System32\umonit.exe" [ ]
"FLMOFFICE4DMOUSE"="C:\Programme\Labtec\moffice.exe" [2004-10-13 18:53 819200]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-24 03:24 294912]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2005-06-10 16:20 1407488]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 18:35 45056]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 167936]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 15:18 253952]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-09-25 14:54 229952]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-09-26 16:49 45056]
"TrayServer"="C:\Programme\MAGIX\Video_deluxe_2007_SE\TrayServer.exe" [2006-10-04 15:41 98304]
"Microsoft Anivirus Monitor Process"="antiv.exe" []
"ixplorer"="C:\WINDOWS\System32\ixplorer.exe" [ ]
"NvidMediaCenter"="C:\Programme\Gemeinsame Dateien\System\wmsncs.exe" [2008-06-11 00:05 189990]
"Wmsncs Service"="C:\WINDOWS\Fonts\wmsncs.exe" [2008-06-11 00:05 189990]
"Spool Driver Service"="C:\WINDOWS\System32\spool\drivers\wmsncs.exe" [2008-06-11 00:05 189990]
"Wins Service"="C:\WINDOWS\System32\wins\wmsncs.exe" [2008-06-11 00:05 189990]
"Norman ZANDA"="C:\VIRUSfighter\bin\ZLH.EXE" [2005-05-25 13:11 147456]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Anivirus Monitor Process"="antiv.exe" []
"ixplorer"="C:\WINDOWS\System32\ixplorer.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 05:43 23040]
"NvidMediaCenter"="C:\Programme\Gemeinsame Dateien\System\wmsncs.exe" [2008-06-11 00:05 189990]
"Wmsncs Service"="C:\WINDOWS\Fonts\wmsncs.exe" [2008-06-11 00:05 189990]
"Spool Driver Service"="C:\WINDOWS\System32\spool\drivers\wmsncs.exe" [2008-06-11 00:05 189990]
"Wins Service"="C:\WINDOWS\System32\wins\wmsncs.exe" [2008-06-11 00:05 189990]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
WinCinema Manager.lnk - C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe [2006-12-25 23:53:09 303104]
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-02-20 22:20:41 122880]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 39424]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-05-14 17:15:40 253952]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-05-14 17:51:12 65536]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-04-29 22:00:00 77876]
Symantec Fax Starter Edition-Anschluss.lnk - C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE [1999-04-29 22:00:00 46080]
wmsncs.exe [2008-06-11 00:05:38 189990]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="explorer.exe \"C:\\WINDOWS\\Fonts\\wmsncs.exe\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.IV41"= ir41_32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"wiadss.exe"= wiadss.exe:SYSTEM
"wmsncs.exe"= wmsncs.exe:SYSTEM
R2 NET Runtime Optimization Service v2.1.41329_X86;NET Runtime Optimization Service v2.1.41329_X86;"C:\WINDOWS\Fonts\wmsncs.exe" [2008-06-11 00:05]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\System32\drivers\sis7012.sys [2002-11-04 09:39]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 fixustor;fixustor;C:\WINDOWS\System32\drivers\fixustor.sys [2003-04-21 07:37]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\System32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\System32\drivers\PDNSp50.sys [2006-11-28 22:46]
*Newly Created Service* - CATCHME
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{103L3C30-C3B3-4130-9363-E59E1375PERM}]
C:\WINDOWS\Fonts\wmsncs.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 17:29:30
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
Scanne versteckte Prozesse...
C:\WINDOWS\Fonts\wmsncs.exe [1736] 0x8183F608
Scanne versteckte Autostart Einträge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = C:\WINDOWS\htpatch.exe?ows\CurrentVersion\Run???x????W
UMonit = C:\WINDOWS\System32\umonit.exe?05e3&Pid_0760????????8???D7002?USB\RO????UB2???#????? ???????8????????????H?w????????4???tq?????????w???w????j??wT??w??????????#????w"_?w3??w*?,???#????????????????? ???????????E??w????????????tq??????????????tq?????????????
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBar = ????(l??@??????????????????
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-20 17:33:45
ComboFix-quarantined-files.txt 2008-06-20 15:33:40
12 Verzeichnis(se), 2,773,934,080 Bytes frei
16 Verzeichnis(se), 4,195,344,384 Bytes frei
216
ich weiß jetzt nicht, wie ich weiter verfahren soll. Nach einem erneuten Virenscan blieb alles beim Alten. Die Dateien waren immernoch infiziert.
Ich bin auch echt kein Computerprofi und habe schon Probleme damit, nachzuvollziehen, was bei den Anwendungen passiert und vor Allem zu welchem Zweck.
Weiß da jemand weiter?