four2one.virus - versteut sich in mehrer Dateien, wie bekomme ich ihn weg? |
||
---|---|---|
#0
| ||
14.10.2008, 15:17
Ehrenmitglied
Beiträge: 29434 |
||
|
||
17.10.2008, 18:03
Member
Themenstarter Beiträge: 12 |
#17
Hi Sabina,
folgendes sagt Virustotal über die Datei C:\WINDOWS\system... vom eeePC: MD5: ead6e89dc62c6c320ae5915475a42cb2 First received: 2008.09.08 15:01:21 (CET) Datum 2008.10.08 14:56:46 (CET) [>6D] Ergebnisse 8/36 Permalink: analisis/536870ed09ae34fcfa149585952a5d2d Hoffe, habe es jetzt richtig gemacht?? |
|
|
||
17.10.2008, 23:00
Ehrenmitglied
Beiträge: 29434 |
#18
Ergebnisse 8/36
poste doch bitte mal alles, was erscheint - so kann ich sehen, welche virenscanner es erkennen/löschen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.10.2008, 16:29
Member
Themenstarter Beiträge: 12 |
#19
Hi Sabina,
ich erhalte zur Zeit nur diese Nachricht : 0 bytes size received / Se ha recibido un archivo vacio Werde es vielleicht später nochmal versuchen Gruß Nikstevie |
|
|
||
18.10.2008, 19:10
Ehrenmitglied
Beiträge: 29434 |
#20
C:\WINDOWS\system32\explorer.vbs - ist wahrscheinlich schon gelöscht (?)
Schade, ich hätte gern gesehen, welche scanner das erkennen. erstelle laut Anleitung eine neue cfscript.txt - dann wieder auf combofix ziehen - poste das neue log Zitat Registry::«« dann mache onlinescans : z.b mit Bitdefender oder Comodo + poste den Report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.10.2008, 14:45
Member
Themenstarter Beiträge: 12 |
#21
ComboFix 08-10-19.04 - Sasha Inglis 2008-10-20 14:34:37.10 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.677 [GMT 2:00] Running from: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\cfscript.txt * Created a new restore point . ((((((((((((((((((((((((( Files Created from 2008-09-20 to 2008-10-20 ))))))))))))))))))))))))))))))) . 2008-10-16 15:37 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll 2008-10-16 15:37 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys 2008-10-16 15:34 . 2008-10-16 15:37 <DIR> d-------- C:\Programme\iTunes 2008-10-16 15:34 . 2008-10-16 15:34 <DIR> d-------- C:\Programme\iPod 2008-10-16 15:34 . 2008-10-16 15:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-10-16 14:13 . 2008-10-16 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\dvdcss 2008-10-16 14:10 . 2008-10-16 14:13 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\vlc 2008-10-16 14:08 . 2008-10-16 14:08 <DIR> d-------- C:\Programme\VideoLAN 2008-10-16 13:56 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2008-10-16 13:56 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe 2008-10-16 13:56 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2008-10-16 13:56 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe 2008-10-16 13:56 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys 2008-10-16 13:56 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-13 19:18 . 2008-10-17 18:30 1,393 --a------ C:\WINDOWS\imsins.BAK 2008-10-11 20:21 . 2008-10-11 20:21 <DIR> d-------- C:\Programme\Elaborate Bytes 2008-10-11 19:50 . 2008-10-11 19:50 <DIR> d-------- C:\Programme\Xvid 2008-10-11 19:50 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll 2008-10-11 19:50 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll 2008-10-11 19:50 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax 2008-10-10 03:11 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-10-10 03:10 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll 2008-10-10 03:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys 2008-10-10 02:59 . 2008-10-10 02:59 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\de 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\bits 2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\l2schemas 2008-10-10 02:54 . 2008-10-10 02:54 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-10-10 02:46 . 2008-10-10 02:46 400 --a------ C:\WINDOWS\ODBC.INI 2008-10-10 02:43 . 2008-10-10 02:43 <DIR> d-------- C:\WINDOWS\ShellNew 2008-10-10 02:39 . 2008-10-10 02:39 <DIR> d-------- C:\WINDOWS\EHome 2008-10-10 02:24 . 2004-08-03 22:41 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys 2008-10-10 02:23 . 2006-02-28 14:00 381,425 -----c--- C:\WINDOWS\system32\dllcache\copycd.wmv 2008-10-10 02:20 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-10-10 02:10 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Apple Computer 2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\Bonjour 2008-10-10 02:07 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\QuickTime 2008-10-10 02:07 . 2008-10-10 02:07 <DIR> d-------- C:\Programme\Apple Software Update 2008-10-10 02:07 . 2008-10-10 02:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer 2008-10-10 02:07 . 2008-10-01 13:01 32,000 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys 2008-10-10 02:06 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple 2008-10-10 02:06 . 2008-10-10 02:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple 2008-10-10 01:19 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe 2008-10-10 01:19 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf 2008-10-10 01:13 . 2008-10-10 01:13 <DIR> d-------- C:\Programme\Foxit Software 2008-10-10 01:03 . 2008-10-10 01:03 <DIR> d-------- C:\Programme\Opera 2008-10-09 23:54 . 2008-10-09 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Windows Live Writer 2008-10-09 23:35 . 2008-10-10 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\DoctorWeb 2008-10-09 23:31 . 2008-10-09 23:31 <DIR> d---s---- C:\Dokumente und Einstellungen\Sasha Inglis\UserData 2008-10-09 22:54 . 2008-10-09 22:54 <DIR> d-------- C:\Programme\Atheros Communications Inc 2008-10-09 22:50 . 2008-10-09 22:50 <DIR> d-------- C:\Programme\Atheros 2008-10-09 22:49 . 2008-10-09 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros 2008-10-09 22:49 . 2007-05-02 19:00 546,976 --a------ C:\WINDOWS\system32\ar5211.sys 2008-10-09 22:49 . 2007-05-02 19:00 84,470 --a------ C:\WINDOWS\system32\net5211.inf 2008-10-09 22:49 . 2007-05-09 10:16 20,888 --a------ C:\WINDOWS\system32\net5211.cat 2008-10-09 22:39 . 2006-10-08 21:09 192,512 -ra------ C:\WINDOWS\system32\SETDA.tmp 2008-10-09 22:39 . 2006-10-08 21:13 122,880 -ra------ C:\WINDOWS\system32\SETFE.tmp 2008-10-09 22:39 . 2006-10-08 21:13 114,688 -ra------ C:\WINDOWS\system32\SETE2.tmp 2008-10-09 22:39 . 2006-10-08 21:10 94,208 -ra------ C:\WINDOWS\system32\SETE4.tmp 2008-10-07 00:28 . 2008-10-07 00:28 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-10-06 19:41 . 2008-10-06 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3 2008-10-06 19:41 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys 2008-10-06 19:17 . 2008-03-21 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2008-10-06 19:17 . 2008-04-16 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2008-10-06 19:17 . 2008-10-20 14:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2008-10-06 19:17 . 2008-04-16 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield 2008-10-06 19:17 . 2008-10-06 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2008-10-06 19:17 . 2008-10-06 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator 2008-10-05 20:07 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-10-05 20:07 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-09-21 19:55 . 2008-10-17 18:29 <DIR> d--h----- C:\WINDOWS\$hf_mig$ . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-09 23:53 --------- d-----w C:\Programme\microsoft frontpage 2008-10-09 20:54 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-09 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-10-09 20:01 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\StarOffice8 2008-09-19 21:11 176 ----a-w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\wklnhst.dat 2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys 2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-09-05 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Skype 2008-09-05 22:07 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\skypePM 2008-08-30 17:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-08-27 10:36 --------- d-----w C:\Programme\Avira 2008-08-27 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-08-27 01:21 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\InterVideo 2008-08-20 05:08 671,744 ----a-w C:\WINDOWS\system32\wininet.dll 2008-08-14 13:19 2,191,488 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-08-14 13:19 2,068,352 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AsusTray"="C:\Programme\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400] "AsusACPIServer"="C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768] "ETDWare"="C:\Programme\Elantech\ETDCtrl.exe" [2008-04-16 335872] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-08 98304] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-08 114688] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-08 94208] "RTHDCPL"="RTHDCPL.EXE" [2008-03-06 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoRun OSCleaner.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoRun OSCleaner.lnk backup=C:\WINDOWS\pss\AutoRun OSCleaner.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-10-01 18:57 289576 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R3 AsusACPI;ASUS ACPI Driver;C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264] R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2008-02-13 30720] R3 Ktp;Elantech Smart-Pad;C:\WINDOWS\system32\DRIVERS\ETD.sys [2008-04-15 25088] R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-03-28 57024] . Contents of the 'Scheduled Tasks' folder 2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-20 14:37:37 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... Hi Sabina, ok, hier der Combofix log mit der sfcript Datei: scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-10-20 14:39:19 ComboFix-quarantined-files.txt 2008-10-20 12:39:13 ComboFix2.txt 2008-10-20 12:23:49 Pre-Run: 816,242,688 Bytes frei Post-Run: 806,838,272 Bytes frei 162 --- E O F --- 2008-10-17 16:30:05 und Bitdefender sagt, er habe keine Probleme gefunden. Ich hoffe, das hört sich gut an!! Schöne Grüße Nikstevie Dieser Beitrag wurde am 20.10.2008 um 15:20 Uhr von nikstevie editiert.
|
|
|
||
20.10.2008, 19:01
Ehrenmitglied
Beiträge: 29434 |
#22
ja, diesmal hats geklappt - ich finde nichts mehr.
Wenn es noch Probleme gibt - melde dich __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.10.2008, 02:55
Member
Themenstarter Beiträge: 12 |
#23
Hi Sabina,
unglaublich!!! Ich ziehe den Hut vor Dir und danke Dir für Deine Ausdauer und Hilfe!!! Hoffe, der Virus breitet sich nicht so schnell bei anderen aus, wie bei mir, vielen, vielen dank Nikola |
|
|
||
16.11.2008, 16:19
...neu hier
Beiträge: 4 |
#24
Heho,
habe mir aus Thailand auch den four2one als Souvenir mitgebracht. Nach einigem hin und her kann ich zumindest schon wieder an meinen Taskmanager ran und meine Registry wird auch wieder normal dargestellt. Der Combofixlog sieht allerdings immer noch verdächtig aus... ComboFix 08-11-14.01 - Sxx 2008-11-16 16:10:01.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.251 [GMT 1:00] ausgeführt von:: e:\four2one\Combofix\ComboFix.exe [COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR] . ((((((((((((((((((((((( Dateien erstellt von 2008-10-16 bis 2008-11-16 )))))))))))))))))))))))))))))) . 2008-10-16 17:10 . 2008-05-10 17:07 36,439 -rah----- C:\Google.jpg 2008-10-16 17:09 . 2008-05-10 17:07 36,439 -rah----- c:\windows\system32\Google.jpg 2008-10-16 17:09 . 2008-10-16 17:09 1,600 -rahs---- c:\windows\system32\google.htm 2008-10-16 17:09 . 2008-10-16 17:09 1,600 -rahs---- C:\google.htm 2008-10-16 17:09 . 2008-10-16 17:09 416 -rahs---- c:\windows\system32\explorer.vbs . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-04 14:33 21,840 ----atw c:\windows\system32\SIntfNT.dll 2008-10-04 14:33 17,212 ----atw c:\windows\system32\SIntf32.dll 2008-10-04 14:33 12,067 ----atw c:\windows\system32\SIntf16.dll . ((((((((((((((((((((((((((((( snapshot@2008-11-16_15.54.40,67 ))))))))))))))))))))))))))))))))))))))))) . - 2008-11-16 14:45:00 70,778 ----a-w c:\windows\system32\perfc007.dat + 2008-11-16 15:08:00 70,778 ----a-w c:\windows\system32\perfc007.dat - 2008-11-16 14:45:00 58,794 ----a-w c:\windows\system32\perfc009.dat + 2008-11-16 15:08:00 58,794 ----a-w c:\windows\system32\perfc009.dat - 2008-11-16 14:45:00 405,362 ----a-w c:\windows\system32\perfh007.dat + 2008-11-16 15:08:00 405,362 ----a-w c:\windows\system32\perfh007.dat - 2008-11-16 14:45:00 392,494 ----a-w c:\windows\system32\perfh009.dat + 2008-11-16 15:08:00 392,494 ----a-w c:\windows\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-12 53248] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-21 142104] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-21 162584] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-21 138008] "avgnt"="e:\antivir\AntiVir PersonalEdition Classic\avgnt.exe" [2008-11-15 266497] "RTHDCPL"="RTHDCPL.EXE" [2007-05-29 c:\windows\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-02-07 110592] Microsoft Office.lnk - e:\office\Office10\OSA.EXE [2001-02-13 83360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= ffdshow.ax [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "e:\\Firefox\\Mozilla Firefox\\firefox.exe"= "e:\\Trillian\\Trillian\\trillian.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71d087d6-9b80-11dd-8d7d-001c26c2ee21}] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9d6241a-16d0-11dd-8d02-001c26c2ee21}] \Shell\AutoRun\command - G:\LaunchU3.exe -a . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - c:\dokumente und einstellungen\Sxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8tk0gpeq.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-16 16:11:21 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-11-16 16:11:53 ComboFix-quarantined-files.txt 2008-11-16 15:11:50 ComboFix2.txt 2008-11-16 15:05:12 ComboFix3.txt 2008-11-16 14:55:01 Vor Suchlauf: 2.541.641.728 Bytes frei Nach Suchlauf: 2,532,737,024 Bytes frei 87 |
|
|
||
16.11.2008, 16:27
Moderator
Beiträge: 5694 |
#25
>>
Lasse folgende Datei bei VIRUSTOTAL prüfen und poste das Ergebnis: c:\windows\system32\explorer.vbs Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln" http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe >> antivbs.zip - laden - entzippen + anwenden http://virus-protect.org/zip/antivbs.zip http://virus-protect.org/artikel/spyware/vbs-remove.html >> Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu >> scanne mit Dr.Web erst im Normalmodus, dann im abgesicherten Modus http://virus-protect.org/cureit.html Gruss Swiss Dieser Beitrag wurde am 16.11.2008 um 16:33 Uhr von Tonstudio editiert.
|
|
|
||
16.11.2008, 17:11
...neu hier
Beiträge: 4 |
#26
Danke für die Hilfe!
virustotal sagt: Datei explorer.vbs empfangen 2008.11.16 16:39:50 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 9/34 (26.48%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.11.14.3 2008.11.16 - AntiVir 7.9.0.31 2008.11.14 - Authentium 5.1.0.4 2008.11.15 - Avast 4.8.1281.0 2008.11.16 - AVG 8.0.0.199 2008.11.16 - BitDefender 7.2 2008.11.16 Worm.VBS.AI CAT-QuickHeal 10.00 2008.11.15 - ClamAV 0.94.1 2008.11.15 Worm.VBS.Autorun-14 DrWeb 4.44.0.09170 2008.11.16 - eSafe 7.0.17.0 2008.11.16 - eTrust-Vet 31.6.6209 2008.11.14 - Ewido 4.0 2008.11.16 - F-Prot 4.4.4.56 2008.11.15 - Fortinet 3.117.0.0 2008.11.15 - GData 19 2008.11.16 Worm.VBS.AI Ikarus T3.1.1.45.0 2008.11.16 - K7AntiVirus 7.10.526 2008.11.15 - Kaspersky 7.0.0.125 2008.11.16 - McAfee 5435 2008.11.15 VBS/Autorun.worm.k Microsoft 1.4104 2008.11.16 - NOD32 3615 2008.11.15 VBS/AutoRun.AP Norman 5.80.02 2008.11.14 - Panda 9.0.0.4 2008.11.16 VBS/Four2one.A.worm PCTools 4.4.2.0 2008.11.16 - Rising 21.03.42.00 2008.11.14 - SecureWeb-Gateway 6.7.6 2008.11.16 VBScript.Vulnerable.gen!High (suspicious) Sophos 4.35.0 2008.11.16 - Sunbelt 3.1.1801.2 2008.11.14 - Symantec 10 2008.11.16 - TheHacker 6.3.1.1.155 2008.11.15 - TrendMicro 8.700.0.1004 2008.11.14 VBS_AGENT.APNE VBA32 3.12.8.9 2008.11.15 - ViRobot 2008.11.15.1470 2008.11.15 VBS.Four2one.416 VirusBuster 4.5.11.0 2008.11.16 - weitere Informationen: File size: 416 bytes MD5...: ead6e89dc62c6c320ae5915475a42cb2 SHA1..: d9a37405ee2cd4cb62e8cf67bfb47f7f40d93c38 SHA256: 972555536bc8861663bdb9451c6810013fc99151c25dc622b1cffdc6c4f7632b SHA512: b20c89bde7bbbbead32e90c2a283591ec88938f87c6b90a02eed58879262e72f 763e48c80ff5888b81937a5bc707fe5cbb55f60270f0fc7384ebf21f307e0502 PEiD..: - TrID..: File type identification Unknown! PEInfo: - Ist es wohl für euch interessant welche Antivirustools auf die Datei ansprechen? |
|
|
||
16.11.2008, 17:23
Moderator
Beiträge: 5694 |
||
|
||
31.01.2009, 15:22
...neu hier
Beiträge: 4 |
#28
Heho,
habe trotzdem noch 2 Probleme. a)Rechtsklick auf >Start >Explorer meint er jetzt: "Die Skriptdatei c:\windows\system32\explorer.vbs wurde nicht gefunden Rechtsklick auf Arbeitsplatz >Explorer geht b)Im Rechtsklick Kontextmenü befindet sich zudem der Eintrag "*Benutzername* Please look at me"; beim Klick öffnet sich der Internetexplorer mit der altbekannten google.htm Combofix sagt: ComboFix 09-01-21.04 - 2009-01-31 15:06:49.5 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.502.243 [GMT 1:00] ausgeführt von:: e:\four2one\Combofix\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . - REDUZIERTER FUNKTIONALITÄTSMODUS - . ((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-31 )))))))))))))))))))))))))))))) . 2009-01-30 10:30 . 2009-01-30 10:30 30,880 --a------ c:\dokumente und einstellungen\Sukotaii\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-30 10:03 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-10-04 14:33 21,840 ----atw c:\windows\system32\SIntfNT.dll 2008-10-04 14:33 17,212 ----atw c:\windows\system32\SIntf32.dll 2008-10-04 14:33 12,067 ----atw c:\windows\system32\SIntf16.dll . ((((((((((((((((((((((((((((( snapshot_2008-11-16_16.56.33.45 ))))))))))))))))))))))))))))))))))))))))) . - 2000-08-31 07:00:00 28,672 ----a-w c:\windows\NIRCMD.exe + 2000-08-31 07:00:00 29,696 ----a-w c:\windows\NIRCMD.exe - 2007-06-11 12:34:00 2,115,816 ----a-w c:\windows\system32\Macromed\Flash\NPSWF32.dll + 2008-10-05 03:24:02 3,695,008 ----a-w c:\windows\system32\Macromed\Flash\NPSWF32.dll - 2007-06-11 12:34:00 190,696 ----a-w c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe + 2008-10-05 03:24:04 235,936 ----a-w c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe + 2008-12-10 22:48:44 84,661 ----a-w c:\windows\system32\Macromed\Flash\uninstall_plugin.exe - 2008-11-16 15:42:34 72,688 ----a-w c:\windows\system32\perfc007.dat + 2009-01-31 13:26:25 72,688 ----a-w c:\windows\system32\perfc007.dat - 2008-11-16 15:42:34 59,978 ----a-w c:\windows\system32\perfc009.dat + 2009-01-31 13:26:25 59,978 ----a-w c:\windows\system32\perfc009.dat - 2008-11-16 15:42:34 411,510 ----a-w c:\windows\system32\perfh007.dat + 2009-01-31 13:26:25 411,510 ----a-w c:\windows\system32\perfh007.dat - 2008-11-16 15:42:34 397,758 ----a-w c:\windows\system32\perfh009.dat + 2009-01-31 13:26:25 397,758 ----a-w c:\windows\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-12 53248] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-21 142104] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-21 162584] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-21 138008] "avgnt"="e:\antivir\AntiVir PersonalEdition Classic\avgnt.exe" [2008-11-15 266497] "RTHDCPL"="RTHDCPL.EXE" [2007-05-29 c:\windows\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-02-07 110592] Microsoft Office.lnk - e:\office\Office10\OSA.EXE [2001-02-13 83360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= ffdshow.ax [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "e:\\Firefox\\Mozilla Firefox\\firefox.exe"= "e:\\Trillian\\Trillian\\trillian.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= --- Andere Dienste/Treiber im Speicher --- *Deregistered* - DwShield00007CE4 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9d6241a-16d0-11dd-8d02-001c26c2ee21}] \Shell\AutoRun\command - G:\LaunchU3.exe -a . . ------- Zusätzlicher Suchlauf ------- . uStart Page = c:\Google.htm IE: Nach Microsoft &Excel exportieren - e:\office\Office10\EXCEL.EXE/3000 TCP: {3A1BDA26-BF4B-4F7F-93E4-F4FD74E159D6} = 192.168.62.1 TCP: {BDD61697-766B-4F02-87D8-A010426C38FC} = 192.168.2.1 FF - ProfilePath - c:\dokumente und einstellungen\Sukotaii\Anwendungsdaten\Mozilla\Firefox\Profiles\8tk0gpeq.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - component: e:\firefox\Mozilla Firefox\components\xpinstal.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-31 15:06:56 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-01-31 15:08:01 ComboFix-quarantined-files.txt 2009-01-31 14:07:59 ComboFix2.txt 2008-11-16 15:56:51 ComboFix3.txt 2008-11-16 15:11:54 ComboFix4.txt 2008-11-16 15:05:12 Vor Suchlauf: 2.308.534.272 Bytes frei Nach Suchlauf: 2,312,675,328 Bytes frei 102 Dieser Beitrag wurde am 01.02.2009 um 16:43 Uhr von AngryAmsel editiert.
|
|
|
||
01.02.2009, 00:31
Moderator
Beiträge: 5694 |
#29
Darf ich fragen wieso Du Dich dann bis jetzt nicht gemeldet hast???
Hab doch geschrieben dass Du den Rest noch machen solltest!! Ich werde nun den Support trotzdem weiterführen obwohl dass nicht die feine Art ist sich einfach nicht mehr zu melden. >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> scanne mit Dr.Web erst im Normalmodus, dann im abgesicherten Modus http://virus-protect.org/cureit.html >> Erstelle ein HiJACKThis Log und poste es hier: http://virus-protect.org/hjtkurz.html >> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate: http://www.virus-protect.org/datfindbat.html Gruss Swiss Für mich: Zitat C:\Google.jpg Dieser Beitrag wurde am 01.02.2009 um 00:34 Uhr von Tonstudio editiert.
|
|
|
||
01.02.2009, 16:46
...neu hier
Beiträge: 4 |
#30
Ja sie dürfen, war längere Zeit im Ausland. Soll ja Leute geben die noch ein reallife haben.
Denke aber ich werde den Support in diesem Forum nicht mehr in Anspruch nehmen. Trotzdem danke für die Unterstützung und die investierte Zeit. Edit: Für alle Leute mit dem selben Problem: Die letzten Reste des four2one sind wie folgt zu beseitigen... -alle google.htm und google.jpg s die sich auf allen Festplatten befinden löschen (in Ordneroptionen Versteckte Dateien einblenden lassen) - in der Registry unter HKEY_CLASSES_ROOT\Folder\shell Ordner "*Username*'s please look at me" löschen -HKEY_CLASSES_ROOT\Folder\shell\explore\command den Wert c:\windows\System32\WScript.exe c:\windows\system32\explorer.vbs löschen und Wert %SystemRoot%\Explorer.exe /idlist,%I,%L mit Datentyp REG_EXPAND_SZ anlegen -HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec den (Standard) Wert auf [ExploreFolder("%l", %I, %S)] setzen. done i'm outta here Dieser Beitrag wurde am 01.02.2009 um 18:05 Uhr von AngryAmsel editiert.
|
|
|
||
eeePc steht zur Diskussion....
arbeite bitte ab, was ich im obrigen Beitrag geschrieben habe.
__________
MfG Sabina
rund um die PC-Sicherheit