four2one.virus - versteut sich in mehrer Dateien, wie bekomme ich ihn weg?

#0
14.10.2008, 15:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 der Lappi ist o.k. (hatte ich schon geschrieben)
eeePc steht zur Diskussion....
arbeite bitte ab, was ich im obrigen Beitrag geschrieben habe.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.10.2008, 18:03
Member

Themenstarter

Beiträge: 12
#17 Hi Sabina,

folgendes sagt Virustotal über die Datei C:\WINDOWS\system... vom eeePC:

MD5: ead6e89dc62c6c320ae5915475a42cb2
First received: 2008.09.08 15:01:21 (CET)
Datum 2008.10.08 14:56:46 (CET) [>6D]
Ergebnisse 8/36
Permalink: analisis/536870ed09ae34fcfa149585952a5d2d

Hoffe, habe es jetzt richtig gemacht??
Seitenanfang Seitenende
17.10.2008, 23:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Ergebnisse 8/36
poste doch bitte mal alles, was erscheint - so kann ich sehen, welche virenscanner es erkennen/löschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2008, 16:29
Member

Themenstarter

Beiträge: 12
#19 Hi Sabina,

ich erhalte zur Zeit nur diese Nachricht :

0 bytes size received / Se ha recibido un archivo vacio

Werde es vielleicht später nochmal versuchen

Gruß
Nikstevie
Seitenanfang Seitenende
18.10.2008, 19:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 C:\WINDOWS\system32\explorer.vbs - ist wahrscheinlich schon gelöscht (?)
Schade, ich hätte gern gesehen, welche scanner das erkennen.

erstelle laut Anleitung eine neue cfscript.txt - dann wieder auf combofix ziehen - poste das neue log

Zitat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ecb48ab-8299-11dd-a68f-0022151219c0}]

File::
C:\WINDOWS\system32\google.htm
C:\WINDOWS\system32\explorer.vbs
««
dann mache onlinescans : z.b mit Bitdefender oder Comodo + poste den Report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.10.2008, 14:45
Member

Themenstarter

Beiträge: 12
#21 ComboFix 08-10-19.04 - Sasha Inglis 2008-10-20 14:34:37.10 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.677 [GMT 2:00]
Running from: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Sasha Inglis\Desktop\cfscript.txt
* Created a new restore point
.

((((((((((((((((((((((((( Files Created from 2008-09-20 to 2008-10-20 )))))))))))))))))))))))))))))))
.

2008-10-16 15:37 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-10-16 15:37 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-10-16 15:34 . 2008-10-16 15:37 <DIR> d-------- C:\Programme\iTunes
2008-10-16 15:34 . 2008-10-16 15:34 <DIR> d-------- C:\Programme\iPod
2008-10-16 15:34 . 2008-10-16 15:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-16 14:13 . 2008-10-16 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\dvdcss
2008-10-16 14:10 . 2008-10-16 14:13 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\vlc
2008-10-16 14:08 . 2008-10-16 14:08 <DIR> d-------- C:\Programme\VideoLAN
2008-10-16 13:56 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-16 13:56 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-16 13:56 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-16 13:56 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-16 13:56 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-16 13:56 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-13 19:18 . 2008-10-17 18:30 1,393 --a------ C:\WINDOWS\imsins.BAK
2008-10-11 20:21 . 2008-10-11 20:21 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-10-11 19:50 . 2008-10-11 19:50 <DIR> d-------- C:\Programme\Xvid
2008-10-11 19:50 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-10-11 19:50 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-10-11 19:50 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-10-10 03:11 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-10-10 03:10 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-10-10 03:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-10-10 02:59 . 2008-10-10 02:59 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\de
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\system32\bits
2008-10-10 02:58 . 2008-10-10 02:58 <DIR> d-------- C:\WINDOWS\l2schemas
2008-10-10 02:54 . 2008-10-10 02:54 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-10-10 02:46 . 2008-10-10 02:46 400 --a------ C:\WINDOWS\ODBC.INI
2008-10-10 02:43 . 2008-10-10 02:43 <DIR> d-------- C:\WINDOWS\ShellNew
2008-10-10 02:39 . 2008-10-10 02:39 <DIR> d-------- C:\WINDOWS\EHome
2008-10-10 02:24 . 2004-08-03 22:41 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys
2008-10-10 02:23 . 2006-02-28 14:00 381,425 -----c--- C:\WINDOWS\system32\dllcache\copycd.wmv
2008-10-10 02:20 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-10-10 02:10 . 2008-10-10 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Apple Computer
2008-10-10 02:09 . 2008-10-10 02:09 <DIR> d-------- C:\Programme\Bonjour
2008-10-10 02:07 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\QuickTime
2008-10-10 02:07 . 2008-10-10 02:07 <DIR> d-------- C:\Programme\Apple Software Update
2008-10-10 02:07 . 2008-10-10 02:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-10 02:07 . 2008-10-01 13:01 32,000 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2008-10-10 02:06 . 2008-10-10 02:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-10-10 02:06 . 2008-10-10 02:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-10-10 01:19 . 2003-06-25 16:05 266,360 --a------ C:\WINDOWS\system32\TweakUI.exe
2008-10-10 01:19 . 2002-06-21 15:09 160,217 --a------ C:\WINDOWS\system32\PowerToysLicense.rtf
2008-10-10 01:13 . 2008-10-10 01:13 <DIR> d-------- C:\Programme\Foxit Software
2008-10-10 01:03 . 2008-10-10 01:03 <DIR> d-------- C:\Programme\Opera
2008-10-09 23:54 . 2008-10-09 23:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Windows Live Writer
2008-10-09 23:35 . 2008-10-10 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Sasha Inglis\DoctorWeb
2008-10-09 23:31 . 2008-10-09 23:31 <DIR> d---s---- C:\Dokumente und Einstellungen\Sasha Inglis\UserData
2008-10-09 22:54 . 2008-10-09 22:54 <DIR> d-------- C:\Programme\Atheros Communications Inc
2008-10-09 22:50 . 2008-10-09 22:50 <DIR> d-------- C:\Programme\Atheros
2008-10-09 22:49 . 2008-10-09 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Atheros
2008-10-09 22:49 . 2007-05-02 19:00 546,976 --a------ C:\WINDOWS\system32\ar5211.sys
2008-10-09 22:49 . 2007-05-02 19:00 84,470 --a------ C:\WINDOWS\system32\net5211.inf
2008-10-09 22:49 . 2007-05-09 10:16 20,888 --a------ C:\WINDOWS\system32\net5211.cat
2008-10-09 22:39 . 2006-10-08 21:09 192,512 -ra------ C:\WINDOWS\system32\SETDA.tmp
2008-10-09 22:39 . 2006-10-08 21:13 122,880 -ra------ C:\WINDOWS\system32\SETFE.tmp
2008-10-09 22:39 . 2006-10-08 21:13 114,688 -ra------ C:\WINDOWS\system32\SETE2.tmp
2008-10-09 22:39 . 2006-10-08 21:10 94,208 -ra------ C:\WINDOWS\system32\SETE4.tmp
2008-10-07 00:28 . 2008-10-07 00:28 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-10-06 19:41 . 2008-10-06 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\U3
2008-10-06 19:41 . 2008-04-14 03:52 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-10-06 19:17 . 2008-03-21 10:45 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-10-06 19:17 . 2008-04-16 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-10-06 19:17 . 2008-10-20 14:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-10-06 19:17 . 2008-04-16 17:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-10-06 19:17 . 2008-03-21 10:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-10-06 19:17 . 2008-04-16 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-10-06 19:17 . 2008-10-06 19:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-10-06 19:17 . 2008-10-06 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-05 20:07 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-10-05 20:07 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-09-21 19:55 . 2008-10-17 18:29 <DIR> d--h----- C:\WINDOWS\$hf_mig$

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-09 23:53 --------- d-----w C:\Programme\microsoft frontpage
2008-10-09 20:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-09 20:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-10-09 20:01 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\StarOffice8
2008-09-19 21:11 176 ----a-w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\wklnhst.dat
2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-05 22:44 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\Skype
2008-09-05 22:07 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\skypePM
2008-08-30 17:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-27 10:36 --------- d-----w C:\Programme\Avira
2008-08-27 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-27 01:21 --------- d-----w C:\Dokumente und Einstellungen\Sasha Inglis\Anwendungsdaten\InterVideo
2008-08-20 05:08 671,744 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:19 2,191,488 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19 2,068,352 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusTray"="C:\Programme\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
"AsusACPIServer"="C:\Programme\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"ETDWare"="C:\Programme\Elantech\ETDCtrl.exe" [2008-04-16 335872]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-08 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-08 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-08 94208]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-06 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoRun OSCleaner.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoRun OSCleaner.lnk
backup=C:\WINDOWS\pss\AutoRun OSCleaner.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-10-01 18:57 289576 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R3 AsusACPI;ASUS ACPI Driver;C:\WINDOWS\system32\DRIVERS\ASUSACPI.sys [2007-07-26 11264]
R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2008-02-13 30720]
R3 Ktp;Elantech Smart-Pad;C:\WINDOWS\system32\DRIVERS\ETD.sys [2008-04-15 25088]
R3 WSIMD;wsimd Service;C:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-03-28 57024]
.
Contents of the 'Scheduled Tasks' folder

2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-20 14:37:37
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

Hi Sabina,
ok, hier der Combofix log mit der sfcript Datei:

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-10-20 14:39:19
ComboFix-quarantined-files.txt 2008-10-20 12:39:13
ComboFix2.txt 2008-10-20 12:23:49

Pre-Run: 816,242,688 Bytes frei
Post-Run: 806,838,272 Bytes frei

162 --- E O F --- 2008-10-17 16:30:05



und Bitdefender sagt, er habe keine Probleme gefunden.
Ich hoffe, das hört sich gut an!!
Schöne Grüße
Nikstevie
Dieser Beitrag wurde am 20.10.2008 um 15:20 Uhr von nikstevie editiert.
Seitenanfang Seitenende
20.10.2008, 19:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 ja, diesmal hats geklappt - ich finde nichts mehr.
Wenn es noch Probleme gibt - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.10.2008, 02:55
Member

Themenstarter

Beiträge: 12
#23 Hi Sabina,
unglaublich!!! Ich ziehe den Hut vor Dir und danke Dir für Deine Ausdauer und Hilfe!!!
Hoffe, der Virus breitet sich nicht so schnell bei anderen aus, wie bei mir,
vielen, vielen dank
Nikola
Seitenanfang Seitenende
16.11.2008, 16:19
...neu hier

Beiträge: 4
#24 Heho,
habe mir aus Thailand auch den four2one als Souvenir mitgebracht.
Nach einigem hin und her kann ich zumindest schon wieder an meinen Taskmanager ran und meine Registry wird auch wieder normal dargestellt. Der Combofixlog sieht allerdings immer noch verdächtig aus...




ComboFix 08-11-14.01 - Sxx 2008-11-16 16:10:01.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.251 [GMT 1:00]
ausgeführt von:: e:\four2one\Combofix\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-16 bis 2008-11-16 ))))))))))))))))))))))))))))))
.

2008-10-16 17:10 . 2008-05-10 17:07 36,439 -rah----- C:\Google.jpg
2008-10-16 17:09 . 2008-05-10 17:07 36,439 -rah----- c:\windows\system32\Google.jpg
2008-10-16 17:09 . 2008-10-16 17:09 1,600 -rahs---- c:\windows\system32\google.htm
2008-10-16 17:09 . 2008-10-16 17:09 1,600 -rahs---- C:\google.htm
2008-10-16 17:09 . 2008-10-16 17:09 416 -rahs---- c:\windows\system32\explorer.vbs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-04 14:33 21,840 ----atw c:\windows\system32\SIntfNT.dll
2008-10-04 14:33 17,212 ----atw c:\windows\system32\SIntf32.dll
2008-10-04 14:33 12,067 ----atw c:\windows\system32\SIntf16.dll
.

((((((((((((((((((((((((((((( snapshot@2008-11-16_15.54.40,67 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-16 14:45:00 70,778 ----a-w c:\windows\system32\perfc007.dat
+ 2008-11-16 15:08:00 70,778 ----a-w c:\windows\system32\perfc007.dat
- 2008-11-16 14:45:00 58,794 ----a-w c:\windows\system32\perfc009.dat
+ 2008-11-16 15:08:00 58,794 ----a-w c:\windows\system32\perfc009.dat
- 2008-11-16 14:45:00 405,362 ----a-w c:\windows\system32\perfh007.dat
+ 2008-11-16 15:08:00 405,362 ----a-w c:\windows\system32\perfh007.dat
- 2008-11-16 14:45:00 392,494 ----a-w c:\windows\system32\perfh009.dat
+ 2008-11-16 15:08:00 392,494 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-12 53248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-21 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-21 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-21 138008]
"avgnt"="e:\antivir\AntiVir PersonalEdition Classic\avgnt.exe" [2008-11-15 266497]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-29 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-02-07 110592]
Microsoft Office.lnk - e:\office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Firefox\\Mozilla Firefox\\firefox.exe"=
"e:\\Trillian\\Trillian\\trillian.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71d087d6-9b80-11dd-8d7d-001c26c2ee21}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe recycle.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9d6241a-16d0-11dd-8d02-001c26c2ee21}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Sxx\Anwendungsdaten\Mozilla\Firefox\Profiles\8tk0gpeq.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-16 16:11:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-16 16:11:53
ComboFix-quarantined-files.txt 2008-11-16 15:11:50
ComboFix2.txt 2008-11-16 15:05:12
ComboFix3.txt 2008-11-16 14:55:01

Vor Suchlauf: 2.541.641.728 Bytes frei
Nach Suchlauf: 2,532,737,024 Bytes frei

87
Seitenanfang Seitenende
16.11.2008, 16:27
Moderator

Beiträge: 5694
#25 >>
Lasse folgende Datei bei VIRUSTOTAL prüfen und poste das Ergebnis:

c:\windows\system32\explorer.vbs


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

>>
antivbs.zip - laden - entzippen + anwenden
http://virus-protect.org/zip/antivbs.zip
http://virus-protect.org/artikel/spyware/vbs-remove.html

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71d087d6-9b80-11dd-8d7d-001c26c2ee21}]

File::
c:\windows\system32\explorer.vbs
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

>>
scanne mit Dr.Web erst im Normalmodus, dann im abgesicherten Modus
http://virus-protect.org/cureit.html
Gruss Swiss
Dieser Beitrag wurde am 16.11.2008 um 16:33 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
16.11.2008, 17:11
...neu hier

Beiträge: 4
#26 Danke für die Hilfe!

virustotal sagt:

Datei explorer.vbs empfangen 2008.11.16 16:39:50 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 9/34 (26.48%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.14.3 2008.11.16 -
AntiVir 7.9.0.31 2008.11.14 -
Authentium 5.1.0.4 2008.11.15 -
Avast 4.8.1281.0 2008.11.16 -
AVG 8.0.0.199 2008.11.16 -
BitDefender 7.2 2008.11.16 Worm.VBS.AI
CAT-QuickHeal 10.00 2008.11.15 -
ClamAV 0.94.1 2008.11.15 Worm.VBS.Autorun-14
DrWeb 4.44.0.09170 2008.11.16 -
eSafe 7.0.17.0 2008.11.16 -
eTrust-Vet 31.6.6209 2008.11.14 -
Ewido 4.0 2008.11.16 -
F-Prot 4.4.4.56 2008.11.15 -
Fortinet 3.117.0.0 2008.11.15 -
GData 19 2008.11.16 Worm.VBS.AI
Ikarus T3.1.1.45.0 2008.11.16 -
K7AntiVirus 7.10.526 2008.11.15 -
Kaspersky 7.0.0.125 2008.11.16 -
McAfee 5435 2008.11.15 VBS/Autorun.worm.k
Microsoft 1.4104 2008.11.16 -
NOD32 3615 2008.11.15 VBS/AutoRun.AP
Norman 5.80.02 2008.11.14 -
Panda 9.0.0.4 2008.11.16 VBS/Four2one.A.worm
PCTools 4.4.2.0 2008.11.16 -
Rising 21.03.42.00 2008.11.14 -
SecureWeb-Gateway 6.7.6 2008.11.16 VBScript.Vulnerable.gen!High (suspicious)
Sophos 4.35.0 2008.11.16 -
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.16 -
TheHacker 6.3.1.1.155 2008.11.15 -
TrendMicro 8.700.0.1004 2008.11.14 VBS_AGENT.APNE
VBA32 3.12.8.9 2008.11.15 -
ViRobot 2008.11.15.1470 2008.11.15 VBS.Four2one.416
VirusBuster 4.5.11.0 2008.11.16 -

weitere Informationen:

File size: 416 bytes
MD5...: ead6e89dc62c6c320ae5915475a42cb2
SHA1..: d9a37405ee2cd4cb62e8cf67bfb47f7f40d93c38
SHA256: 972555536bc8861663bdb9451c6810013fc99151c25dc622b1cffdc6c4f7632b
SHA512: b20c89bde7bbbbead32e90c2a283591ec88938f87c6b90a02eed58879262e72f
763e48c80ff5888b81937a5bc707fe5cbb55f60270f0fc7384ebf21f307e0502
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -


Ist es wohl für euch interessant welche Antivirustools auf die Datei ansprechen?
Seitenanfang Seitenende
16.11.2008, 17:23
Moderator

Beiträge: 5694
#27 Genau ;)

Mach den Rest noch wie ich oben gepostet habe.

Gruss Swiss
Seitenanfang Seitenende
31.01.2009, 15:22
...neu hier

Beiträge: 4
#28 Heho,
habe trotzdem noch 2 Probleme.

a)Rechtsklick auf >Start >Explorer meint er jetzt:
"Die Skriptdatei c:\windows\system32\explorer.vbs wurde nicht gefunden
Rechtsklick auf Arbeitsplatz >Explorer geht

b)Im Rechtsklick Kontextmenü befindet sich zudem der Eintrag "*Benutzername* Please look at me"; beim Klick öffnet sich der Internetexplorer mit der altbekannten google.htm



Combofix sagt:

ComboFix 09-01-21.04 - 2009-01-31 15:06:49.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.502.243 [GMT 1:00]
ausgeführt von:: e:\four2one\Combofix\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-31 ))))))))))))))))))))))))))))))
.

2009-01-30 10:30 . 2009-01-30 10:30 30,880 --a------ c:\dokumente und einstellungen\Sukotaii\Anwendungsdaten\GDIPFONTCACHEV1.DAT

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-30 10:03 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-04 14:33 21,840 ----atw c:\windows\system32\SIntfNT.dll
2008-10-04 14:33 17,212 ----atw c:\windows\system32\SIntf32.dll
2008-10-04 14:33 12,067 ----atw c:\windows\system32\SIntf16.dll
.

((((((((((((((((((((((((((((( snapshot_2008-11-16_16.56.33.45 )))))))))))))))))))))))))))))))))))))))))
.
- 2000-08-31 07:00:00 28,672 ----a-w c:\windows\NIRCMD.exe
+ 2000-08-31 07:00:00 29,696 ----a-w c:\windows\NIRCMD.exe
- 2007-06-11 12:34:00 2,115,816 ----a-w c:\windows\system32\Macromed\Flash\NPSWF32.dll
+ 2008-10-05 03:24:02 3,695,008 ----a-w c:\windows\system32\Macromed\Flash\NPSWF32.dll
- 2007-06-11 12:34:00 190,696 ----a-w c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2008-10-05 03:24:04 235,936 ----a-w c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2008-12-10 22:48:44 84,661 ----a-w c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-11-16 15:42:34 72,688 ----a-w c:\windows\system32\perfc007.dat
+ 2009-01-31 13:26:25 72,688 ----a-w c:\windows\system32\perfc007.dat
- 2008-11-16 15:42:34 59,978 ----a-w c:\windows\system32\perfc009.dat
+ 2009-01-31 13:26:25 59,978 ----a-w c:\windows\system32\perfc009.dat
- 2008-11-16 15:42:34 411,510 ----a-w c:\windows\system32\perfh007.dat
+ 2009-01-31 13:26:25 411,510 ----a-w c:\windows\system32\perfh007.dat
- 2008-11-16 15:42:34 397,758 ----a-w c:\windows\system32\perfh009.dat
+ 2009-01-31 13:26:25 397,758 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-12 53248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-21 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-21 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-21 138008]
"avgnt"="e:\antivir\AntiVir PersonalEdition Classic\avgnt.exe" [2008-11-15 266497]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-29 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-02-07 110592]
Microsoft Office.lnk - e:\office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Firefox\\Mozilla Firefox\\firefox.exe"=
"e:\\Trillian\\Trillian\\trillian.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - DwShield00007CE4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9d6241a-16d0-11dd-8d02-001c26c2ee21}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = c:\Google.htm
IE: Nach Microsoft &Excel exportieren - e:\office\Office10\EXCEL.EXE/3000
TCP: {3A1BDA26-BF4B-4F7F-93E4-F4FD74E159D6} = 192.168.62.1
TCP: {BDD61697-766B-4F02-87D8-A010426C38FC} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Sukotaii\Anwendungsdaten\Mozilla\Firefox\Profiles\8tk0gpeq.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - component: e:\firefox\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-31 15:06:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-31 15:08:01
ComboFix-quarantined-files.txt 2009-01-31 14:07:59
ComboFix2.txt 2008-11-16 15:56:51
ComboFix3.txt 2008-11-16 15:11:54
ComboFix4.txt 2008-11-16 15:05:12

Vor Suchlauf: 2.308.534.272 Bytes frei
Nach Suchlauf: 2,312,675,328 Bytes frei

102
Dieser Beitrag wurde am 01.02.2009 um 16:43 Uhr von AngryAmsel editiert.
Seitenanfang Seitenende
01.02.2009, 00:31
Moderator

Beiträge: 5694
#29 Darf ich fragen wieso Du Dich dann bis jetzt nicht gemeldet hast???

Hab doch geschrieben dass Du den Rest noch machen solltest!!

Ich werde nun den Support trotzdem weiterführen obwohl dass nicht die feine Art ist sich einfach nicht mehr zu melden.


>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
scanne mit Dr.Web erst im Normalmodus, dann im abgesicherten Modus
http://virus-protect.org/cureit.html

>>
Erstelle ein HiJACKThis Log und poste es hier:
http://virus-protect.org/hjtkurz.html

>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html


Gruss Swiss

Für mich:

Zitat

C:\Google.jpg
c:\windows\system32\Google.jpg
c:\windows\system32\google.htm
C:\google.htm
Dieser Beitrag wurde am 01.02.2009 um 00:34 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
01.02.2009, 16:46
...neu hier

Beiträge: 4
#30 Ja sie dürfen, war längere Zeit im Ausland. Soll ja Leute geben die noch ein reallife haben.
Denke aber ich werde den Support in diesem Forum nicht mehr in Anspruch nehmen.
Trotzdem danke für die Unterstützung und die investierte Zeit.


Edit:
Für alle Leute mit dem selben Problem:
Die letzten Reste des four2one sind wie folgt zu beseitigen...

-alle google.htm und google.jpg s die sich auf allen Festplatten befinden löschen (in Ordneroptionen Versteckte Dateien einblenden lassen)

- in der Registry unter
HKEY_CLASSES_ROOT\Folder\shell Ordner "*Username*'s please look at me" löschen


-HKEY_CLASSES_ROOT\Folder\shell\explore\command

den Wert c:\windows\System32\WScript.exe c:\windows\system32\explorer.vbs löschen

und Wert %SystemRoot%\Explorer.exe /idlist,%I,%L mit Datentyp REG_EXPAND_SZ anlegen

-HKEY_CLASSES_ROOT\Folder\shell\explore\ddeexec
den (Standard) Wert auf [ExploreFolder("%l", %I, %S)] setzen.

done
i'm outta here
Dieser Beitrag wurde am 01.02.2009 um 18:05 Uhr von AngryAmsel editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: