Trojaner Bagle.Gen- Jemand einen Rat?

#1 Hallo,
Seit Donnerstag habe ich auf meinem Laptop (Vista :-( ) ein Trojaner namens Bagle.gen und der ist in der wintems.exe gefunden worden.

Er hat das Internet lahm gelegt, Viren Scanner und alles was man installieren will blockiert er auch..

Glücklicherweise hab ich dieses Forum hier gefunden, und hab mich ein bisschen belesen was man machen soll.. Leider läßt er ComboFix nicht zu.. da kommt: Dieses ist keine zulässige Win 32 Anwendung

Hat jemand ne Idee, oder ne Lösung was ich noch machen kann??

Würde ja gern einfach Format C: machen, aber selbst das läßt er nicht zu..

Liebe Grüsse
Felipo

#2 EliBaglA
Scrolle auf http://www.zonavirus.com/datos/descargas/95/elibagla.asp ganz nach unten
zu " Descargar Elibagla 11.50 " und klicke
Download EliBaglA.exe zum Desktop
Doppelklick EliBaglA.exe um das Program zu starten
Neben Unidad muss stehen C:\ wenn nicht,ändere es nach C:\
“Eliminar Ficheros Automaticamente” muss angehaackt sein
Klicke " Explorar "
Klicke nachher "Salir" um das Program zu schliessen

Starte dein Rechner neu und lasse " EliBaglA " nochmal scannen
Am Ende stet auf C:\ infoStat.txt
Kopiere den Inhalt des Berichts ”infoStat.txt” in diesen Thread

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Nehme als Update Spiegel >>It-mate.co.uk
Malwarebytes Anti-Malware kann man nachher behalten !

Download ComboFix nochmal
Download ComboFix und speichert es auf den Desktop!
Benenne ComboFix in Combo-fix um



Alle Fenster schliessen und combo-fix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !
__________
MfG Argus

#3 ´Es hat nun doch geklappt.. und hier die Ergebnisse vom EliBaglA


Sun Jun 22 19:07:34 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.

Sun Jun 22 19:08:06 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jun 22 19:08:47 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jun 22 19:09:39 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jun 22 19:09:57 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jun 22 19:10:19 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jun 22 19:11:10 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jun 22 19:11:36 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jun 22 19:11:45 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Sun Jun 22 19:13:39 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jun 22 19:13:43 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Sun Jun 22 19:14:06 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jun 22 19:14:10 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Sun Jun 22 19:16:47 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\INES\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Jun 22 19:17:18 2008
EliBagle v11.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\OO Software\DiskRecovery\O&O DISKRECOVERY 4.1.1334 KEYGEN.EXE --> Eliminado Bagle.dldr
C:\Program Files\Rainlendar2\RAINLENDAR2.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 15734
Nº Total de Ficheros: 100177
Nº de Ficheros Analizados: 16521
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2


Und hier von dem Malwarebytes Programm..

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 870

20:56:46 22.06.2008
mbam-log-6-22-2008 (20-56-46).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 134689
Scan Dauer: 44 minute(s), 57 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Users\Ines\AppData\Roaming\m (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\Program Files\WinRAR\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\Windows\System32\mdelk.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\wintems.exe (Trojan.Agent) -> Delete on reboot.
C:\Windows\System32\drivers\hldrrr.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\Ines\AppData\Roaming\m\flec006.exe (Trojan.Agent) -> Delete on reboot.


Nur der Combo-Fix streikt immer noch..

Lg Felipo

#4 Hallo, Felipo

««
lade: Virus Removal Tool - AVPTool (noch nicht anwenden)
http://virus-protect.org/artikel/tools/kaspersky.html

««
Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip

««
im abges.Modus wende combofix an (umbnennen combofix.exe in comb.exe oder anderen namen)

««
dann scanne mit dem Virus Removal Tool - AVPTool

-------

poste dann nach neustart in den normalmodus ein neues log von Combofix + den scanreport vom Kaspersky AVPTool
__________
MfG Sabina

rund um die PC-Sicherheit

#5 gibt es den AVP Tool auch für Vista? Bekomme immer eine Fehlermeldung.

Felipo

#6 die Fehlermeldung kommt vom Bagle-Wurm.
boote also in den abgesicherten Modus und versuche combofix anzuwenden.
vorher umbenennen.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Yippie.. endlich hat Combo-Fix geklappt

hier die Daten dazu:

ComboFix 08-06-20.4 - SYSTEM 2008-06-24 19:51:17.1 - NTFSx86 MINIMAL
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.1733 [GMT 2:00]
ausgeführt von:: C:\Windows\system32\config\systemprofile\Desktop\Comb.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\drivers\downld
C:\Windows\system32\drivers\downld\1016970.exe
C:\Windows\system32\drivers\downld\1040885.exe
C:\Windows\system32\drivers\downld\1058388.exe
C:\Windows\system32\drivers\downld\1068123.exe
C:\Windows\system32\drivers\downld\1345071.exe
C:\Windows\system32\drivers\downld\1378222.exe
C:\Windows\system32\drivers\downld\1403790.exe
C:\Windows\system32\drivers\downld\1456628.exe
C:\Windows\system32\drivers\downld\1468328.exe
C:\Windows\system32\drivers\downld\1481432.exe
C:\Windows\system32\drivers\downld\1488233.exe
C:\Windows\system32\drivers\downld\193893.exe
C:\Windows\system32\drivers\downld\204408.exe
C:\Windows\system32\drivers\downld\2061163.exe
C:\Windows\system32\drivers\downld\2069119.exe
C:\Windows\system32\drivers\downld\2083767.exe
C:\Windows\system32\drivers\downld\2091333.exe
C:\Windows\system32\drivers\downld\2150910.exe
C:\Windows\system32\drivers\downld\2165028.exe
C:\Windows\system32\drivers\downld\2175995.exe
C:\Windows\system32\drivers\downld\2185028.exe
C:\Windows\system32\drivers\downld\735747.exe
C:\Windows\system32\drivers\downld\737307.exe
C:\Windows\system32\drivers\downld\745840.exe
C:\Windows\system32\drivers\downld\765247.exe
C:\Windows\system32\drivers\downld\835338.exe
C:\Windows\system32\drivers\downld\851547.exe
C:\Windows\system32\drivers\downld\890344.exe
C:\Windows\system32\drivers\downld\957112.exe
C:\Windows\system32\drivers\mdelk.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA


((((((((((((((((((((((( Dateien erstellt von 2008-05-24 bis 2008-06-24 ))))))))))))))))))))))))))))))
.

2008-06-24 19:48 . 2008-06-24 19:48 <DIR> d-------- C:\Temp
2008-06-24 19:47 . 2008-06-24 19:47 <DIR> d-------- C:\Users\All Users\Kaspersky Lab Tool
2008-06-24 19:47 . 2008-06-24 19:47 <DIR> d-------- C:\PROGRA~2\Kaspersky Lab Tool
2008-06-22 19:58 . 2008-06-22 19:58 <DIR> d-------- C:\Users\All Users\Malwarebytes
2008-06-22 19:58 . 2008-06-22 19:58 <DIR> d-------- C:\PROGRA~2\Malwarebytes
2008-06-22 19:58 . 2008-06-19 17:48 34,296 --a------ C:\Windows\System32\drivers\mbamcatchme.sys
2008-06-22 19:58 . 2008-06-19 17:47 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
2008-06-22 13:01 . 2008-06-22 20:00 2,037,114 --a------ C:\ComboFix.exe
2008-06-22 12:48 . 2008-06-22 12:48 <DIR> d-------- C:\Users\All Users\Kaspersky Lab Setup Files
2008-06-22 12:48 . 2008-06-22 12:48 <DIR> d-------- C:\PROGRA~2\Kaspersky Lab Setup Files
2008-06-22 00:45 . 2008-06-22 00:45 <DIR> d-------- C:\Users\All Users\WindowsSearch
2008-06-22 00:45 . 2008-06-22 00:45 <DIR> d-------- C:\PROGRA~2\WindowsSearch
2008-06-22 00:36 . 2008-06-22 00:36 <DIR> d-------- C:\Program Files\CleanUp!
2008-06-20 18:05 . 2008-06-20 18:05 <DIR> d-------- C:\Program Files\avmwlanstick
2008-06-20 18:05 . 2005-05-13 02:00 5,584 -ra------ C:\Windows\instwcli.inf
2008-06-20 18:04 . 2005-05-13 02:00 452,736 --a------ C:\Windows\System32\drivers\fwlanusb.sys
2008-06-20 18:04 . 2005-05-13 02:00 97,392 --a------ C:\Windows\System32\drivers\Fwusb1b.bin
2008-06-20 18:04 . 2005-05-13 02:00 32,768 --a------ C:\Windows\System32\avmcowlan.dll
2008-06-19 21:56 . 2008-06-19 22:11 49 --a------ C:\Windows\NeroDigital.ini
2008-06-19 20:36 . 2008-06-19 20:36 <DIR> d-------- C:\Program Files\OO Software
2008-06-19 08:47 . 2008-06-20 17:01 <DIR> d-------- C:\Program Files\PC Inspector File Recovery
2008-06-14 19:56 . 2008-04-23 06:42 428,544 --a------ C:\Windows\System32\EncDec.dll
2008-06-14 19:55 . 2008-04-23 06:42 293,376 --a------ C:\Windows\System32\psisdecd.dll
2008-06-14 19:55 . 2008-04-23 06:41 218,624 --a------ C:\Windows\System32\psisrndr.ax
2008-06-14 19:55 . 2008-04-23 06:41 57,856 --a------ C:\Windows\System32\MSDvbNP.ax
2008-06-11 14:49 . 2008-04-25 04:12 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-06-11 14:49 . 2008-04-26 10:08 1,314,816 --a------ C:\Windows\System32\quartz.dll
2008-06-11 14:49 . 2008-04-25 06:35 826,880 --a------ C:\Windows\System32\wininet.dll
2008-06-11 14:49 . 2008-05-10 03:33 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
2008-06-04 18:50 . 2008-06-04 18:50 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-05-30 19:45 . 2008-05-30 19:45 <DIR> d-------- C:\Program Files\VideoLAN
2008-05-30 19:42 . 2008-05-30 19:42 <DIR> d-------- C:\Program Files\Common Files\xing shared
2008-05-30 19:41 . 2008-05-30 19:41 <DIR> d-------- C:\Program Files\Real
2008-05-30 19:12 . 2008-05-30 19:12 <DIR> dr------- C:\Users\Public\Downloads
2008-05-30 18:58 . 2008-05-30 18:58 <DIR> d-------- C:\PerfLogs
2008-05-30 16:36 . 2008-01-19 09:33 2,623,488 --a------ C:\Windows\System32\SLsvc.exe
2008-05-30 16:36 . 2008-01-19 09:36 1,541,120 --a------ C:\Windows\System32\onex.dll
2008-05-30 16:34 . 2008-01-19 05:12 3,662,296 --a------ C:\Windows\System32\locale.nls
2008-05-30 16:33 . 2008-01-19 09:35 9,847,296 --a------ C:\Windows\System32\NlsData000a.dll
2008-05-30 16:32 . 2008-01-19 09:33 8,139,264 --a------ C:\Windows\System32\ssBranded.scr
2008-05-30 16:31 . 2008-01-19 09:35 3,072,000 --a------ C:\Windows\System32\networkmap.dll
2008-05-30 16:30 . 2008-01-19 09:34 6,103,040 --a------ C:\Windows\System32\chtbrkr.dll
2008-05-30 16:29 . 2008-01-19 08:06 8,147,456 --a------ C:\Windows\System32\wmploc.DLL
2008-05-30 16:27 . 2008-01-19 09:36 704,512 --a------ C:\Windows\System32\SmiEngine.dll
2008-05-30 16:27 . 2008-01-19 09:36 357,888 --a------ C:\Windows\System32\wbemcomn.dll
2008-05-30 16:27 . 2008-01-19 09:36 218,624 --a------ C:\Windows\System32\wdscore.dll
2008-05-30 16:27 . 2008-01-19 09:36 139,264 --a------ C:\Windows\System32\SmiInstaller.dll
2008-05-30 16:27 . 2008-01-19 09:33 130,560 --a------ C:\Windows\System32\PkgMgr.exe
2008-05-30 16:26 . 2008-01-19 09:34 305,152 --a------ C:\Windows\System32\msdelta.dll
2008-05-30 16:26 . 2008-01-19 09:34 258,560 --a------ C:\Windows\System32\dpx.dll
2008-05-30 16:26 . 2008-01-19 09:34 246,784 --a------ C:\Windows\System32\drvstore.dll
2008-05-30 16:26 . 2008-01-19 09:35 35,328 --a------ C:\Windows\System32\mspatcha.dll
2008-05-27 20:01 . 2008-03-08 04:08 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-05-27 20:01 . 2008-03-08 06:21 1,695,744 --a------ C:\Windows\System32\gameux.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-22 17:18 --------- d-----w C:\Program Files\Rainlendar2
2008-06-22 10:51 --------- d-----w C:\PROGRA~2\Avira
2008-06-20 15:42 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-20 15:42 --------- d-----w C:\PROGRA~2\Ulead Systems
2008-06-20 15:42 --------- d-----w C:\PROGRA~2\Spybot - Search & Destroy
2008-06-19 06:49 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-12 07:27 --------- d-----w C:\Program Files\Windows Mail
2008-06-10 16:41 --------- d-----w C:\Program Files\Java
2008-05-30 17:42 --------- d-----w C:\Program Files\Common Files\Real
2008-05-30 17:12 174 --sha-w C:\Program Files\desktop.ini
2008-05-30 17:02 --------- d-----w C:\Program Files\Windows Sidebar
2008-05-30 17:02 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-05-30 17:02 --------- d-----w C:\Program Files\Windows Journal
2008-05-30 17:02 --------- d-----w C:\Program Files\Windows Collaboration
2008-05-30 17:02 --------- d-----w C:\Program Files\Windows Calendar
2008-05-30 17:01 --------- d-----w C:\Program Files\Windows Defender
2008-04-25 08:18 --------- d-----w C:\Program Files\Common Files\PX Storage Engine
2007-01-26 09:19 335 ----a-w C:\Users\Ines\registry.dat
2007-09-09 18:04 397,312 --sha-w C:\Windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.0.6000.16480_none_ef1b6bb652cf8744\WinMail.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-19 09:33 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"Malwarebytes Anti-Malware Reboot"="C:\Users\Default\Desktop\Malwarebytes' Anti-Malware\mbam.exe" [2008-06-19 17:47 1166968]
"is-P5R47"="C:\ProgramData\Kaspersky Lab Tool\is-P5R47\is-P5R47.exe" [2008-06-07 15:26 217088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.mpegacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
backup=C:\Windows\pss\Adobe Gamma Loader.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=C:\Windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
--a------ 2005-11-16 17:05 118784 C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
-ra------ 2005-05-13 02:00 1800408 C:\Program Files\avmwlanstick\wlangui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-12-23 18:05 143360 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-04-01 12:40 172280 D:\Program Files\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2006-11-10 16:19 1051648 C:\Program Files\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
D:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Rainlendar2]
C:\Program Files\Rainlendar2\Rainlendar2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 12:43 2097488 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-05-30 19:41 185896 C:\Program Files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
--a------ 2005-11-16 17:05 1009806 D:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
e:\registrybooster 2\StartRegistryBooster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2326822739-3173598295-4013631000-1000]
"EnableNotificationsRef"=dword:00000003

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\AuthorizedApplications\List]
"d:\\Program Files\\FlashFXP\\FlashFXP.exe"= d:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{869456E5-961E-470E-B4DD-A58062D1F50B}"= UDP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{F41DDF99-846C-4B92-9098-9EB4393218C7}"= TCP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{2CCACAE1-B403-42AB-BA5A-287E4DF4F6AF}"= UDP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"{1EE8A675-F976-4196-8BE3-38456EDC76D7}"= TCP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"TCP Query User{D2752CE4-561B-4A5C-9397-4BF6CBFE7AD3}C:\\program files\\msn messenger\\msnmsgr.exe"= UDP:C:\program files\msn messenger\msnmsgr.exe:MSN Messenger
"UDP Query User{2B12B430-C1AF-4C27-A63A-AEB15CCFE8BA}C:\\program files\\msn messenger\\msnmsgr.exe"= TCP:C:\program files\msn messenger\msnmsgr.exe:MSN Messenger
"TCP Query User{B3777210-039B-4062-A8FD-CC0214DD669C}D:\\program files\\icq6\\icq.exe"= UDP:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{2E4B77A6-A875-4DEC-920B-804ECA5F9E5B}D:\\program files\\icq6\\icq.exe"= TCP:\program files\icq6\icq.exe:ICQ Library
"{D6F7DAE4-E520-46B7-8CFB-1CBA41C2F46B}"= UDP:\Program Files\Shtml8.exe:Shtml8.exe
"{126F115A-10C0-4560-8FAC-D51D189BDA8A}"= TCP:\Program Files\Shtml8.exe:Shtml8.exe
"TCP Query User{42540598-2A5B-49CC-B41C-6B8810138447}D:\\program files\\realplay.exe"= UDP:\program files\realplay.exe:RealPlayer
"UDP Query User{5F5DED53-89CC-487F-969D-6334D3D05F98}D:\\program files\\realplay.exe"= TCP:\program files\realplay.exe:RealPlayer
"{E9BEFF48-D547-417B-B458-BF0AA5E112D5}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{035323F4-E626-43F2-BE73-C67E78E61E88}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{1E9757B7-53DA-4F94-B66D-0592FF8B9BD7}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{7FE3AFF3-3433-4A37-8771-B9EC9097CFB1}C:\\users\\ines\\downloads\\messengr.exe"= UDP:C:\users\ines\downloads\messengr.exe:messengr.exe
"UDP Query User{1FE34BC4-A753-4C71-96E8-A737116707B1}C:\\users\\ines\\downloads\\messengr.exe"= TCP:C:\users\ines\downloads\messengr.exe:messengr.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"d:\\Program Files\\FlashFXP\\FlashFXP.exe"= d:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3

R3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\Windows\system32\DRIVERS\RTL8187B.sys [2007-03-22 22:23]
S2 is-P5R47;is-P5R47;"C:\ProgramData\Kaspersky Lab Tool\is-P5R47\is-P5R47.exe" -r []
S3 FWLANUSB;AVM FRITZ!WLAN;C:\Windows\system32\DRIVERS\fwlanusb.sys [2005-05-13 02:00]
S3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 09:36]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\Windows\system32\DRIVERS\ss_bus.sys [2007-05-02 12:11]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\Windows\system32\DRIVERS\ss_mdfl.sys [2007-05-02 12:11]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\Windows\system32\DRIVERS\ss_mdm.sys [2007-05-02 12:11]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\shell\AutoRun\command - F:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4faac2d2-5e36-11dc-b979-806e6f6e6963}]
\shell\AutoRun\command - F:\setup.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-24 20:04:42
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\avmwlanstick\WLanNetService.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\System32\wermgr.exe
C:\Windows\System32\conime.exe
C:\Windows\System32\WerFault.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-24 20:09:06 - machine was rebooted [Ines]
ComboFix-quarantined-files.txt 2008-06-24 18:08:50

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
15 Verzeichnis(se), 12,438,593,536 Bytes frei

255 --- E O F --- 2008-06-19 18:22:39

Und nun???
Liebe GRüße und vielen Dank
Felipo

#8 jetzt mache einen Onlinescan mit bitdefender + poste den report
http://virus-protect.org/artikel/tools/bitdefender.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 ich komme doch nicht online! Der Zugang ist doch auch gesperrt vom Bagle.gen

nen anderen Vorschlag? Ich lade immer am seperaten Pc mit Internetanschluß alles runter und spiel es per Stick dann auf den verseuchten Pc..

Lg Felipo

#10 1.
lade dr.web, scanne im abgesicherten modus und versuche es auch noch mal mit dem kaspersky-Tool
poste dann hier die reporte
http://virus-protect.org/cureit.html

2.
dann lade avz, scanne + poste den report
http://virus-protect.org/artikel/tools/avz.html

3.
in avz
Results of System Analysis


poste den report der Systemanalyse
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina

Also bei Dr. Web kam nix raus..

Und hier die log datei für AVZ:
Attention !!! Database was last updated 2008-04-06 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 2008-06-25 15:55:14
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 6.0.6001, Service Pack 1 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Error loading driver - checking interrupted [C0000061]
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Error loading driver - checking interrupted [C0000061]
2. Scanning memory
Number of processes found: 5
Number of modules loaded: 161
Scanning memory - complete
3. Scanning disks
C:\Windows\Installer\c014de.msi/{MS-OLE}/\67 >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
File quarantined succesfully (C:\Windows\Installer\c014de.msi)
C:\Windows\Installer\c014de.msi/{MS-OLE}/\70 >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\Windows\Installer\c014de.msi/{MS-OLE}/\71 >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ACDSeeDesktopShortcu_AE80641A0C8D4670A518B4EC154B1027.exe >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
File quarantined succesfully (C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ACDSeeDesktopShortcu_AE80641A0C8D4670A518B4EC154B1027.exe)
C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ACDSeePMShortcut_AE80641A0C8D4670A518B4EC154B1027.exe >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
File quarantined succesfully (C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ACDSeePMShortcut_AE80641A0C8D4670A518B4EC154B1027.exe)
C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ARPPRODUCTICON.exe >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
File quarantined succesfully (C:\Windows\Installer\{AA2E6BFE-4351-481C-A720-47CB3506570B}\ARPPRODUCTICON.exe)
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
Checking - complete
Files scanned: 72259, extracted from archives: 47447, malicious software found 0, suspicions - 6
Scanning finished at 2008-06-25 16:07:22
Time of scanning: 00:12:10
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference


die Systemanalyse hab ich auch gemacht und die Datei angehängt.. hoffe mal die richtige

Lg Felipo..

PS: habe gerade festgestellt das einige Virenprogramme wieder gehen.. aber sie melden immer noch den befall.. aber jetzt irgendwas unter QuBox.. sind die dann irgendwo isoliert schon?

vielleicht bin ich ja zu voreilig..

Und ich würde gern Vista runter schmeißen.. aber das will nicht.. hat da jemand evtl. auch noch ne Idee zu?

Felipo

#12 ««
C:\QooBox - löschen

«
poste dieses log
http://virus-protect.org/artikel/tools/reglooks.html

««
ich verstehe nicht, wieso du nicht ins net kommst.
es ist alles soweit o.k.
LSP settings checked. No errors detected

# Klicke auf Start.
# Klicke auf die Einstellungen-Menüoption.
# Klicke auf Systemsteuerung.
# Wenn sich die Systemsteuerung öffnet, mache einen Doppelklick auf das Netzwerkverbindungen-Piktogramm. Wenn Dein Systemsteuerungsfenster auf Kategorieansicht eingestellt ist, dann klicke auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen in der unteren Kategorie: oder ein Systemsteuerungssymbol.
# Du wirst nun eine Liste der zur Verfügung stehenden Netzwerkverbindungen sehen. Navigiere zu Deiner LAN- oder Wireless-Verbindung und mache einen Rechtsklick darauf.
# Du wirst nun ein Menü sehen-Klicke einfach auf Reparieren.

-----
Error loading driver - checking interrupted [C0000061]
falls durch den bagelwurm die Modemtreiber hops gegangen sind,...lege die cd vom Modem ein und lade sie neu.

--------------------------

dann mache den kasperskyscan + poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hallo Sabina

Kaspersky hat alle DAtein der QooBox gelöscht..

Und Es funktioniert alles wieder!! Vielen tausend Dank!!!

Mein Internet geht nur noch nicht, weil mein Schatz mich wohl bei der FritzBox gesperrt hat. Sollte heute Abend also auch wieder gehen!! :-)

Der Report von Kaspersky ist zu groß.. auch alt datei braucht er zu lange..

Ich muß erstmal zur Arbeit..

Lg Felipo

#14 poste dieses log
http://virus-protect.org/artikel/tools/reglooks.html

dann kopiere von kasperskyscan nur die von ihm gelöschten Einträge raus, nicht den ganzen Scan abkopieren .
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Sabina..

Mein Internet geht trotz freischaltens und alles wieder installieren immer noch nicht. Ist es möglich das meine Netzwerkkarte beschädigt ist??

hier den Log von reglooks

REGLOOKS logfile

version 0.977
2008-06-27 8:40:05.21
running from: "E:\"

--- SSODL regkeys ---

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
only standard or legit regkeys found


--- STS regkeys ---

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
only standard or legit regkeys found


--- USERINIT regkey ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


--- SHELL regkey ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


--- SYSTEM regkey ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


--- APPINIT_DLLS regkey ---

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows


--- NOTIFY regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
only standard or legit regkeys found


--- SHELLEXECUTEHOOKS regkey ---

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks


--- HKLM\Run regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
regkey does not exist


--- HKLM\RunOnce regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
regkey does not exist


--- HKLM\RunOnceEx regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
regkey does not exist


--- HKLM\RunServices regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
regkey does not exist


--- HKLM\RunServicesOnce regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
regkey does not exist


--- HKCU\Run regkeys ---

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
regkey does not exist


--- HKCU\RunOnce regkeys ---

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
regkey does not exist


--- HKCU\RunOnceEx regkeys ---

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
regkey does not exist


--- HKCU\RunServices regkeys ---

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
regkey does not exist


--- HKCU\RunServicesOnce regkeys ---

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
regkey does not exist


--- HKU\.DEFAULT\Run regkeys - Default user ---

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
regkey does not exist


--- HKU\S-1-5-18\Run regkeys - user SYSTEM ---

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
regkey does not exist


--- HKU\S-1-5-19\Run regkeys - User Lokale service ---

HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
regkey does not exist


--- HKU\S-1-5-20\Run regkeys - User Netwerkservice ---

HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
regkey does not exist


--- HKLM\Explorer\Run regkeys ---

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
regkey does not exist


--- HKCU\Explorer\Run regkeys ---

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
regkey does not exist


--- Image File Execution regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
regkey does not exist


--- BROWSER HELPER OBJECTS regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
regkey does not exist


--- TOOLBAR regkeys ---

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
regkey does not exist


--- URLSEARCHHOOKS regkeys ---

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
regkey does not exist


--- CONTEXTMENUHANDLERS regkeys ---

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers

HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHandlers

HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers


--- SAFEBOOT MINIMAL SERVICES ---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
no unknown services found


--- SAFEBOOT NETWORK SERVICES ---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
no unknown services found


--- SERVICES ---

no unknown services found

no unknown services found!

--- SECURITYPROVIDERS regkey ---

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
regkey does not exist


--- SVCHOST regkey ---

HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost
LocalService: nsi\0lltdsvc\0SSDPSRV\0upnphost\0SCardSvr\0w32time\0EventSystem\
0RemoteRegistry\0WinHttpAutoProxySvc\
0lanmanworkstation\0TBS\0SLUINotify\0THREADORDER\0fdrespub\0netprofm\0fdphost\0wcncsvc\
0QWAVE\0Mcx2Svc\0WebClient\0SstpSvc\0\0
LocalSystemNetworkRestricted: hidserv\0UxSms\0WdiSystemHost\0Netman\0trkwks\0AudioEndpointBuilder\0WUDFSvc\0irmon\
0sysmain\0IPBusEnum\0dot3svc\0PcaSvc\0EMDMgmt\0TabletInputService\0wlansvc\0WPDBusEnum\0\0
NetworkServiceNetworkRestricted: PolicyAgent\0\0
LocalServiceNoNetwork: PLA\0DPS\0BFE\0mpssvc\0ehstart\0\0
NetworkService: CryptSvc\0DHCP\0TermService\0KtmRm\0DNSCache\0NapAgent\0nlasvc\0WinRM\0WECSVC\0Tapisrv\0\0
termsvcs: TermService\0\0
WerSvcGroup: wersvc\0\0
netsvcs: AeLookupSvc\0wercplsupport\0Themes\0CertPropSvc\0SCPolicySvc\
0lanmanserver\0gpsvc\0IKEEXT\0AudioSrv\
0FastUserSwitchingCompatibility\0Ias\0Irmon\0Nla\
0Ntmssvc\0NWCWorkstation\0Nwsapagent\0Rasauto\
0Rasman\0Remoteaccess\0SENS\0Sharedaccess\0SRService\0Tapisrv\0Wmi\0WmdmPmSp\0TermService
\0wuauserv\0BITS\0ShellHWDetection\0LogonHours\0PCAudit\0helpsvc\0uploadmgr\
0iphlpsvc\0seclogon\0AppInfo\0msiscsi\0MMCSS\
0ProfSvc\0EapHost\0winmgmt\0schedule\0SessionEnv\0browser\0hkmsvc\0\0
swprv: swprv\0\0
LocalServiceNetworkRestricted: DHCP\0eventlog\0AudioSrv\0LmHosts\0wscsvc\0p2pimsvc\0PNRPSvc\0p2psvc\0WPCSvc\0PnrpAutoReg\0\0
rpcss: RpcSs\0\0
regsvc: RemoteRegistry\0\0
wcssvc: WcsPlugInService\0\0
DcomLaunch: PlugPlay\0DcomLaunch\0\0
wdisvc: WdiServiceHost\0\0
sdrsvc: sdrsvc\0\0
imgsvc: StiSvc\0\0
secsvcs: WinDefend\0\0


--- WOW-CMDLINE regkeys ---

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW


--- DNS SERVER regkeys ---

no "NameServer" values found


--- STARTUP FOLDERS ---

C:\Users\Ines\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini


--- TASK SCHEDULER JOBS ---

no .job files found


--- File associations ---

.BAT files: ("%1" %*)
.COM files: ("%1" %*)
.EXE files: ("%1" %*)
.HLP files: (%SystemRoot%\winhlp32.exe %1)
.INF files: (%SystemRoot%\system32\NOTEPAD.EXE %1)
.INI files: (%SystemRoot%\system32\NOTEPAD.EXE %1)
.JS files: (%SystemRoot%\System32\WScript.exe "%1" %*)
.PIF files: ("%1" %*)
.REG files: (regedit.exe "%1")
.SCR files: ("%1" /S)
.TXT files: (%SystemRoot%\system32\NOTEPAD.EXE %1)
.VBS files: ("%SystemRoot%\System32\WScript.exe" "%1" %*)


FINISHED


und von Kaspersky

Detected
--------
Status Object
------ ------
deleted: Trojan program Backdoor.Win32.Hupigon.cjai File: C:\QooBox\Quarantine\C\Windows\System32\drivers\downld\2061163.exe.vir
deleted: Trojan program Backdoor.Win32.Hupigon.cjai File: C:\QooBox\Quarantine\C\Windows\System32\drivers\downld\737307.exe.vir
deleted: Trojan program Trojan-Downloader.Win32.Bagle.hp File: C:\QooBox\Quarantine\Registry_backups\Legacy_SROSA.reg.dat


Liebe Grüße Felipo