Home » Viren, Trojaner & Malware Forum » Virus auf PC. Kein Taskmanager und Regestry mehr. » Themenansicht

Virus auf PC. Kein Taskmanager und Regestry mehr.
#0
12.07.2008, 12:40
pinklec
...neu hier

Beiträge: 4
#1 Hallo Leute,

bitte helft mir....bin kein Experte, deswegen hoffe ich auf euch...

Plötzlich habe ich keine Taskmanager mehr.
Im Start-Menü fehlt sozusagen alles. Keine Systemsteuerung. Kein Systemmanager.
Ich werde andauernd darauf hingewiesen, meinen Systemamdinistrator zu kontaktieren. Ein Security Alert poppt auf, und schreibt ich hätte einen Virus. Lüfter vom Notebook läuft andauernd (Systemauslastung hoch)

ich hab mir auf die schnelle mal nen Hijacker von chip.de heruntergeladen....hir mein Log...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:22: VIRUS ALERT!, on 12.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
C:\Programme\Sitecom Wireless LAN\WLANUTL.exe
C:\Programme\Mobile Phone Manager\bin\Mobile Phone Manager.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\MOBILE~1\bin\SCfgSrv.exe
C:\PROGRA~1\MOBILE~1\bin\DESPROXY.exe
C:\PROGRA~1\MOBILE~1\bin\SPHONE~1.EXE
C:\PROGRA~1\MOBILE~1\bin\SCONTA~1.EXE
C:\PROGRA~1\MOBILE~1\bin\MESSAG~1.EXE
C:\PROGRA~1\MOBILE~1\bin\MPMPim.exe
C:\PROGRA~1\MOBILE~1\bin\SMESSE~1.EXE
C:\PROGRA~1\MOBILE~1\SMARTS~1\xtndpc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O3 - Toolbar: sqvgnrpx - {D1FAB52D-CD54-47B0-9BD3-F325CF4C7BA8} - C:\WINDOWS\sqvgnrpx.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [c0e2a484] rundll32.exe "C:\WINDOWS\system32\ilmorrtc.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Mobile Phone Manager.lnk = C:\Programme\Mobile Phone Manager\bin\Mobile Phone Manager.exe
O4 - Startup: Registration Brothers In Arms.LNK = E:\Support\Register\RegistrationReminder.exe
O4 - Global Startup: Sitecom Wireless LAN Utility.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: fdxbameg - {B96AF30F-F883-4031-A42C-EE4221B774F7} - C:\WINDOWS\fdxbameg.dll
O21 - SSODL: fsrpknov - {F68089A1-E0DB-4198-8DE0-CFEFD0FEF017} - C:\WINDOWS\fsrpknov.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4511 bytes


wie man sieht, hab ich normalerweise "nur" den AntiVir und Zonealarm auf meinem Rechner laufen..

Ich hoffe sehr, dass ihr mir helfen könnt. Ich hab von all dem keine Ahnung.
Das schlimmste ist, ich habe im Moment auch keinen Zugang auf meine D-Partition...wo ich sehr wichtige Daten habe. Also ist im Moment auch keine Möglichkeit ´Daten zu sichern..

Vielen Dank im Voraus für euere Mühe...

Gruss Velimir

PS dieser Antivirus 2008 PRO versucht andauernd auf´s Internet zuzugreifen, obwohl ich dieses Tool noch nie zuvor gesehen habe?? Komisch...
Seitenanfang Seitenende
12.07.2008, 12:52
Swisstreasure
Moderator

Beiträge: 5694
#2 Hallo pinklec

>>
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de


>>
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid

O3 - Toolbar: sqvgnrpx - {D1FAB52D-CD54-47B0-9BD3-F325CF4C7BA8} - C:\WINDOWS\sqvgnrpx.dll

O4 - HKLM\..\Run: [c0e2a484] rundll32.exe "C:\WINDOWS\system32\ilmorrtc.dll",b

O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O21 - SSODL: fdxbameg - {B96AF30F-F883-4031-A42C-EE4221B774F7} - C:\WINDOWS\fdxbameg.dll

O21 - SSODL: fsrpknov - {F68089A1-E0DB-4198-8DE0-CFEFD0FEF017} - C:\WINDOWS\fsrpknov.dll
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\system32\ilmorrtc.dll
C:\WINDOWS\sqvgnrpx.dll
C:\WINDOWS\fdxbameg.dll
C:\WINDOWS\fsrpknov.dll
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\%Username%\Desktop\antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
Folders to delete:
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"


-------------------------------------------------------------------------

>>
scanne mit Malwarebytes, lasse alles gefundene entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
12.07.2008, 13:45
pinklec
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo,

erstmal vielen Dank für deine Tipps.

hab jetzt auch schon ein bishen was gemacht. Es hat sich aber nichts geändert.
Hab den cleaner heruntergeladen, und nach anweisung ausgeführt.
Hab dann mit dem Hijack die 8 Positionen gelöscht (oder sollte ich alle??), es kamm zweimal ein Meldung, dass der Administrator nicht zulässt in der Regestry zu löschen. Hab dann den Rechner neu gebootet, und die 8 Positionen waren nach einem erneuten Scan weg....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:44: VIRUS ALERT!, on 12.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sitecom Wireless LAN\WLANUTL.exe
C:\Programme\Mobile Phone Manager\bin\Mobile Phone Manager.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\MOBILE~1\bin\DESPROXY.exe
C:\PROGRA~1\MOBILE~1\bin\SPHONE~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOBILE~1\bin\SCfgSrv.exe
C:\PROGRA~1\MOBILE~1\bin\MESSAG~1.EXE
C:\PROGRA~1\MOBILE~1\bin\MPMPim.exe
C:\PROGRA~1\MOBILE~1\bin\SMESSE~1.EXE
C:\PROGRA~1\MOBILE~1\SMARTS~1\xtndpc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Mobile Phone Manager.lnk = C:\Programme\Mobile Phone Manager\bin\Mobile Phone Manager.exe
O4 - Startup: Registration Brothers In Arms.LNK = E:\Support\Register\RegistrationReminder.exe
O4 - Global Startup: Sitecom Wireless LAN Utility.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: fsrpknov - {867CFE30-A77B-4914-BE31-10D2AEFF313C} - C:\WINDOWS\fsrpknov.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3709 bytes


Danach den Avengers gedownloaded, den text von dir reinkopiert, und ausgeführt...hier das Ergebnis....

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\ilmorrtc.dll" deleted successfully.
File "C:\WINDOWS\sqvgnrpx.dll" deleted successfully.
File "C:\WINDOWS\fdxbameg.dll" deleted successfully.
File "C:\WINDOWS\fsrpknov.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\pinklec\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk" deleted successfully.

Error: file "C:\Dokumente und Einstellungen\pinklec\Desktop\antivirus-2008pro.lnk" not found!
Deletion of file "C:\Dokumente und Einstellungen\pinklec\Desktop\antivirus-2008pro.lnk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Dokumente und Einstellungen\pinklec\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk" deleted successfully.
Folder "C:\Dokumente und Einstellungen\pinklec\Startmenü\Programme\Antivirus 2008 PRO" deleted successfully.
Folder "C:\Programme\Antivirus 2008 PRO" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Aber, immer noch kein Taskmanager, Systemleiste, ControlPanel, Regestry etc....Schei.......

was nur?? vielleicht hab ich ja was falsch gemacht....
Seitenanfang Seitenende
12.07.2008, 13:47
Swisstreasure
Moderator

Beiträge: 5694
#4 Hast du das schon gemacht ;)

>>
scanne mit Malwarebytes, lasse alles gefundene entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html


Gruss Swiss
Seitenanfang Seitenende
12.07.2008, 14:15
pinklec
...neu hier

Themenstarter

Beiträge: 4
#5 Hab ich angestossen....den malwarebytes.....scheint länger zu dauern. :-)
Seitenanfang Seitenende
12.07.2008, 15:26
Swisstreasure
Moderator

Beiträge: 5694
#6 Dann lass es laufen und dannach noch Combofix und beide Logs hier posten.

Gruss Swiss
Seitenanfang Seitenende
12.07.2008, 15:31
pinklec
...neu hier

Themenstarter

Beiträge: 4
#7 Gott im Himmel bin ich froh, dass es nochmal gut gegangen ist....

vielen, vielen dank!!!!!

hier die Logs....

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 941
Windows 5.1.2600 Service Pack 2

14:53:44 12.07.2008
mbam-log-7-12-2008 (14-53-44).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 64100
Scan Dauer: 46 minute(s), 8 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 18
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 17
Infizierte Verzeichnisse: 0
Infizierte Dateien: 14

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\xxyawVMc.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\wvUOhIyV.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e73f390b-a183-44fb-bd45-b1a877aa79f4} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e73f390b-a183-44fb-bd45-b1a877aa79f4} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\antivirus 2008 pro (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f8ac36d7-f602-4b69-99b5-2a812e05779f} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f8ac36d7-f602-4b69-99b5-2a812e05779f} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvuohiyv (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{8923f611-8a49-4aff-8711-da489b343647} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{66cfe262-41ec-4398-9d49-698ceaf9c1d9} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{66cfe262-41ec-4398-9d49-698ceaf9c1d9} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sqvgnrpx.bpfv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sqvgnrpx.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f8ac36d7-f602-4b69-99b5-2a812e05779f} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\fsrpknov (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\xxyawvmc -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Backdoor.Agent) -> Data: c:\windows\system32\xxyawvmc -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55375-640-1772855-23328) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\xxyawVMc.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\cMVwayxx.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cMVwayxx.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\WinRAR\Default.SFX (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\eswa.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clbdll.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yaYSKBSm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUOhIyV.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\gpefaowr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\wbxdpgfefse.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\pinklec\Anwendungsdaten\TmpRecentIcons\antivirus-2008pro.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\pinklec\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\pinklec\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\pinklec\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.


und noch der Combofix...

ComboFix 08-07-11.1 - pinklec 2008-07-12 15:18:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.307 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\pinklec\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cMVwayxx.ini
C:\WINDOWS\system32\cMVwayxx.ini2
C:\WINDOWS\system32\ctrromli.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-12 bis 2008-07-12 ))))))))))))))))))))))))))))))
.

2008-07-12 13:57 . 2008-07-12 13:57 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-12 13:57 . 2008-07-12 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\pinklec\Anwendungsdaten\Malwarebytes
2008-07-12 13:57 . 2008-07-12 13:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-12 13:57 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 13:57 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-12 12:22 . 2008-07-12 12:22 <DIR> d-------- C:\Programme\Trend Micro
2008-07-12 11:37 . 2008-07-12 11:37 116,864 --a------ C:\WINDOWS\system32\ubsfuwfd.dll
2008-07-12 11:37 . 2008-07-12 11:37 116,864 --a------ C:\WINDOWS\system32\jjunwz.dll
2008-07-12 11:21 . 2001-08-23 14:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-06-13 10:42 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 10:42 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9936547e-bd62-4403-ace8-8e135eb4abf6}]
2008-07-12 11:37 116864 --a------ C:\WINDOWS\system32\jjunwz.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-08-01 00:08 4804608]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02 919280]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2004-03-25 13:22 151552]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2003-07-18 16:24 49152]
"SmartSync - ScheduleSync"="C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [2006-03-30 17:49 45056]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-09 11:20 262401]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02 919280]
"nwiz"="nwiz.exe" [2003-08-01 00:08 323584 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"= rddv1009.dll
"midi2"= rddv1009.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R3 Am772;IEEE 802.11b Wireless LAN Cardbus Card Driver;C:\WINDOWS\system32\DRIVERS\WLANNDS.sys [2003-08-21 19:27]
S3 RDID1009;EDIROL UM-1 USB Driver;C:\WINDOWS\system32\Drivers\rdwm1009.sys [2003-10-30 12:24]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 15:22:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Apoint2K\ApntEx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-12 15:25:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-12 13:24:58

8 Verzeichnis(se), 10,652,332,032 Bytes frei
10 Verzeichnis(se), 10,619,924,480 Bytes frei

91 --- E O F --- 2008-07-01 16:08:23




muss ich noch irgendwas machen??? oder war´s das??....bzw. was war das überhaupt???

Gruss Velimir
Seitenanfang Seitenende
12.07.2008, 17:21
Swisstreasure
Moderator

Beiträge: 5694
#8 PinklecJa mache noch folgendes:

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9936547e-bd62-4403-ace8-8e135eb4abf6}]

File::
C:\WINDOWS\system32\ubsfuwfd.dll
C:\WINDOWS\system32\jjunwz.dll
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

>>
poste das neue Log von Combofix

>>
Mach noch einen Onlinescan mit Bitdefender:
http://virus-protect.org/onlinescan.html

Geht das Windos-Update noch?

Gruss Swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1