Virus Alert wegbekommen

#0
25.10.2008, 02:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#16 Doppelklick auf die Uhr und aendere die Zeit/Datum

Zitat

mein datum ist nur falsch eingestellt

__________
MfG Argus
Seitenanfang Seitenende
25.10.2008, 02:03
Member

Themenstarter
Avatar Nehemia

Beiträge: 30
#17 hab ich gemacht. soll ich denn trotzdem noch mal so ein logfile erstellen?


Wenn ich das starten will sagt der mir fehler - du kannst combofix nicht in umbenennen. Bitte nutze einen anderen namen

ich habe aber gar nicht versucht das programm umzubenennen
__________
Viren sind mir unsympathisch
Dieser Beitrag wurde am 25.10.2008 um 02:09 Uhr von Nehemia editiert.
Seitenanfang Seitenende
25.10.2008, 02:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#18 Rechtsklick auf den Link waehle “Speichern unter" und waehle Desktop
__________
MfG Argus
Seitenanfang Seitenende
25.10.2008, 02:38
Member

Themenstarter
Avatar Nehemia

Beiträge: 30
#19 der befindet sich schon dort, versuche den auf dem desktop zu öffnen, aber wie oben beschrieben, klappt das nicht.
__________
Viren sind mir unsympathisch
Seitenanfang Seitenende
25.10.2008, 02:44
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#20 Download FixPolicies und speichert es auf den Desktop!

Doppelklick FixPolicies.exe um es zu entpacken.
Klicke den Knopf Install
Auf dein Desktop stet jetzt ein Ordner FixPolicies
Öffne diesen Ordner und doppelklick Fix_Policies.cmd
Ein schwarzes Fenster wird öffnen und sofort wieder schließen (ist normal)

Und versuch es nochmal
__________
MfG Argus
Seitenanfang Seitenende
25.10.2008, 02:55
Member

Themenstarter
Avatar Nehemia

Beiträge: 30
#21 habs installiert, leider lässt sich MBAM immer noch nicht starten und bei ComboFix kommt immer noch die gleiche fehlermeldung
__________
Viren sind mir unsympathisch
Seitenanfang Seitenende
25.10.2008, 02:59
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#22 Smitfraudfix -Suchen
Download Smitfraudfix by S!Ri zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick Smitfraudfix.exe.
Schreibe: [b] 1
(es wird ein Report von den infizierten Dateien erstellt)
drücke auf Enter ,um einen Bericht der infizierten Dateien zu bekommen.
Kopiere den Inhalt des Berichts in diesen Thread (C:\ rapport.txt )

Info: http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Argus
Seitenanfang Seitenende
25.10.2008, 03:03
Member

Themenstarter
Avatar Nehemia

Beiträge: 30
#23 Wie komme ich denn in den abgesicherten Modus?
Und nachdem ich den Inhaltsbericht habe, soll ich dann im normalen modus neustarten oder soll ich im abgesicherten modus bleiben?

Sorry wegen den dummen fragen, aber ich hab davon echt keine Ahnung
__________
Viren sind mir unsympathisch
Seitenanfang Seitenende
25.10.2008, 03:06
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#24 Es geht auch in Normal Modus
Normaler weisse benutzt man die F8 methode
Waehrend der Neustart repetierend F8 druecken
__________
MfG Argus
Seitenanfang Seitenende
25.10.2008, 03:08
Member

Themenstarter
Avatar Nehemia

Beiträge: 30
#25 dann versuch ich das jetzt mal ;)

Also das mit F8 hat nicht geklappt und ich habs jetzt im normalen modus gemacht:

SmitFraudFix v2.366

Scan done at 3:16:57,35, 25.10.2008
Run from C:\Dokumente und Einstellungen\Kathrin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Kathrin\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\ngwstxfd.dll FOUND !
C:\WINDOWS\lomxeqsn.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\tdssservers.dat detected, use a Rootkit scanner
C:\WINDOWS\system32\tdssadw.dll detected, use a Rootkit scanner
C:\WINDOWS\system32\tdssinit.dll detected, use a Rootkit scanner
C:\WINDOWS\system32\tdssl.dll detected, use a Rootkit scanner
C:\WINDOWS\system32\tdsslog.dll detected, use a Rootkit scanner
C:\WINDOWS\system32\tdssmain.dll detected, use a Rootkit scanner
C:\WINDOWS\system32\drivers\tdssserv.sys detected, use a Rootkit scanner

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Kathrin


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Kathrin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Kathrin\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\akl\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Cisco Systems VPN Adapter #2 - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

Description: AVM FRITZ!WLAN USB Stick v1.1 #3 - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AB8832B4-BBB2-410E-B92F-50FA6FCA586E}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BD28DC17-D603-47B6-ACF7-D29B90D3D2F7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AB8832B4-BBB2-410E-B92F-50FA6FCA586E}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BD28DC17-D603-47B6-ACF7-D29B90D3D2F7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BD28DC17-D603-47B6-ACF7-D29B90D3D2F7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AB8832B4-BBB2-410E-B92F-50FA6FCA586E}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BD28DC17-D603-47B6-ACF7-D29B90D3D2F7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
__________
Viren sind mir unsympathisch
Dieser Beitrag wurde am 25.10.2008 um 03:22 Uhr von Nehemia editiert.
Seitenanfang Seitenende
25.10.2008, 03:40
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#26 SDFix für Windows 2000 und Windows XP
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread

Es gibt noch eine Methode um im Abgesicherten Modus zu kommen
Start>>Ausführen gib ein/kopiere rein msconfig klicke OK
Geh zum Reiter "Boot.ini" und hake an "Safeboot"
Nachteil ist das bei Neustart der Rechner wieder in Ab.Modus startet
Mann muss also nachher das häckchen wieder entfernen

__________
MfG Argus
Seitenanfang Seitenende
25.10.2008, 03:57
Member

Themenstarter
Avatar Nehemia

Beiträge: 30
#27 das mit dem abgesicherten modus klappt nicht....ich drücke F8 und da kommt die auswahl, dann nehme ich den abgesichteren modus aber dann startet der wieder neu und stellt mir die gleiche auswahl noch mal, bis das ich normal starten nehme.
ich verzweifel so langsam. Wärst du böse wenn ich dich bitte, dass wir das verschieben? ich muss in 4 stunden auf der arbeit sein. Hast du viell. in den nächsten tagen zeit, mir abei weiter zu helfen?
Auf jeden fall danke ich dir schon mal für deine Mühe bis hier hin.
lg
Kathrin
__________
Viren sind mir unsympathisch
Seitenanfang Seitenende
25.10.2008, 04:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#28 Ich werde eine meine Kollegen ein Mail schicken denn ich bin uebers Wochenende nicht da

Gute Nacht und ein Gruss aus Holland ;)
__________
MfG Argus
Seitenanfang Seitenende
25.10.2008, 04:02
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#29 Ich werde eine meine Kollegen ein Mail schicken denn ich bin uebers Wochenende nicht da

Gute Nacht und ein Gruss aus Holland ;)
__________
MfG Argus
Seitenanfang Seitenende
25.10.2008, 04:03
Member

Themenstarter
Avatar Nehemia

Beiträge: 30
#30 danke schön

dir auch eine gute nacht ;)
__________
Viren sind mir unsympathisch
Seitenanfang Seitenende