SDBot.MAL und anderes |
||
---|---|---|
#0
| ||
11.02.2009, 13:04
Member
Beiträge: 28 |
||
|
||
11.02.2009, 13:39
Member
Beiträge: 3716 |
||
|
||
11.02.2009, 13:43
Member
Themenstarter Beiträge: 28 |
#3
Weil ich noch bei der Installation der Treiber etc. gewesen bin, als mein Rechner dann anfing wieder runterzufahren und hängen zu bleiben.
Deshalb habe ich noch kein SP2 installiert. Was meisnt du mit sombofix? Combofix? Edit: Bin gerade dabei die Service Packs zu installieren, hoffe das klappt ohne Unterbrechungen Dieser Beitrag wurde am 11.02.2009 um 14:00 Uhr von MyHome editiert.
|
|
|
||
11.02.2009, 14:05
Member
Beiträge: 3716 |
#4
combofix ja...
oder, befor du lange reinigst formatiere deine festplatte noch mal, |
|
|
||
11.02.2009, 15:26
Member
Themenstarter Beiträge: 28 |
#5
Hallo,
habe das System jetzt neu installiert. Diesmal statt mit einer "schnellen" Formatierung der C-Partition mit einer normalen Formatierung. Hilft trotzdem nichts. Habe mittlerweile 4 mal den Rechner neu gestartet, um diese paar Zeilen zu schreiben. Board-Treiber (USB und LAN) und Grafiktreiber sind installiert. Noch keine Service Packs etc. Was nun? |
|
|
||
11.02.2009, 15:42
Member
Beiträge: 3716 |
#6
kannst du die daten deiner 2 partition irgendwie anders sichern? ich hätte da noch ne idee für ein ordentliches formatieren.
|
|
|
||
11.02.2009, 15:47
Member
Themenstarter Beiträge: 28 |
#7
Habe eine Externe, die ich für solche Fälle nutzen könnte (wobei ich nicht weiß ob so viel Platz darauf noch frei ist). Allerdings habe ich mehr als nur zwei Partition. Statt Ordnern habe ich alles in Partitionen unterteilt.
Bei Übertragungen an die Externe können aber doch die Viren/Würmer mit übertragen werden, oder nicht? |
|
|
||
11.02.2009, 15:50
Member
Beiträge: 3716 |
#8
kannst du mir mal als text schreiben, was auf dem bild zu sehen ist, ich kann das net erkennen.
wenn du alles außer ausfürbare dateien also .exe-dateien sicherst passt es dann? |
|
|
||
11.02.2009, 15:57
Member
Themenstarter Beiträge: 28 |
#9
Auf dem Bild steht:
BCK/SDBot.MAL = Virus --> drivers\NirCmd.exe W32/Conficker... = Virus --> system32\config\...\WTULE70H\yttfxl[1].bmp --> system32\config\...\WTULE70H\yidzwoe[1].gif --> system32\config\...\WTULE70H\wiuhe[1].jpg --> system32\pzmtf.dll Ich dachte allein schon durch einen allgemeinen Anschluss und Abruff der Daten auf meiner Externen,, kann ein Virus übertreten? oder nicht? Ansonsten kann ich es ja mal versuchen. Allerdings wird das ganze nicht gerade angenehm, weil es auch 2 Festplatten sind, die jeweils nochmal unterteilt sind. Also eine Menge Stoff. Hälst du das also für die einzige Lösung? |
|
|
||
11.02.2009, 16:00
Member
Beiträge: 3716 |
#10
hallo, sind die dateien denn jetzt auch ncoh vorhanden? ich möchte mal das du sie prüfst:
http://www.virustotal.com/en/indexf.html du könntest deine externe ja mal mit malwarebytes scannen. |
|
|
||
11.02.2009, 16:10
Member
Themenstarter Beiträge: 28 |
#11
Die Datei
NirCmd.exe ist auf jedem Fall noch vorhanden, jetzt aber direkt im System32-Ordner zu finden. 36/39 aufgelisteten Programmen sagen hierzu: Virus Die anderen kann ich grad net... restart. Edit: die anderen mit [1] im Namen werden über die Windows-Suchfunktion nicht mehr gefunden. Auch der Ordner in dem sie sein sollen, ist nicht mehr vorhanden. Die beiden untersten Files, die noch mit abgebildet sind, haben über Jahre hinweg nichts verursacht. Aber ich checke sie trotzdem mal. Auch wenn ich glaube, dass sie nichts verursachen, habe ich sie gelöscht. Teilweise haben Programme drauf angeschlagen. Die dll-Datei ist auch nicht mehr vorhanden. Edit: ein weiterer Panda-Scan läuft Dieser Beitrag wurde am 11.02.2009 um 16:19 Uhr von MyHome editiert.
|
|
|
||
11.02.2009, 16:26
Ehrenmitglied
Beiträge: 6028 |
#12
Geh nieh ohne ein Realtime Virenscanner ins Netz,auch nicht um Updates zu holen
Antivir http://www.filehippo.com/download/file/cdc279ee5178c407498befd5020b682d674fa1dba763c91d4ebc7a6b619f10aa/ AVG8 http://www.avg.com/filedir/inst/avg_free_stf_eu_8_234a1426.exe __________ MfG Argus |
|
|
||
11.02.2009, 16:26
Member
Beiträge: 3716 |
#13
cih möchte dann auch mal, dass du f-secure laufen lässt nicht das panda fehlalarme hat und wir umsonst formatieren
|
|
|
||
11.02.2009, 16:38
Member
Themenstarter Beiträge: 28 |
#14
Mit f-Secure, meinst du damit:
http://www.f-secure-estore.de/product.php?cnt=esdtrial&id=fso126 ? Hatte und habe Antivir laufen ^^ Der Panda-Scan wurde abgebrochen, aber es waren zumindest schon 5 Files entdeckt. Ich starte nochmal. |
|
|
||
11.02.2009, 16:43
Member
Beiträge: 3716 |
#15
jap. lass antivir beim scannen aus ist besser. findet antivir eigendlich was?
|
|
|
||
am Wochenende hatte ich plötzlich einen Bluescreen und es half nichts, außer einer Neuinstallation des Betriebssystems (WinXP-Home). Dann am Montag, ich weiß nicht wie, hatte ich plötzlich 11 Viren/Würmer auf dem Rechner. Da ich irgendwann net mehr weiter wusste, habe ich das System nun ein zweites Mal installiert. Aber wies scheint ohne Erfolg, die Problemkinder loszuwerden.
Deshalb hoffe ich, dass mir hier jemand helfen kann.
Im Anhang auch der Scan von Panda (falls das jemand von euch kennt)!
Ansonsten wie in eurem Thread beschrieben, "alle" notwendigen Logfiles.
Grüße und Danke,
MyHome
---------
Malwarebytes-Log
---------
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1747
Windows 5.1.2600 Service Pack 1
11.02.2009 12:44:12
mbam-log-2009-02-11 (12-44-12).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 42152
Laufzeit: 57 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
=======
ComboFix-Log: catchme
---------
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-11 12:47:56
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden files ...
scan completed successfully
hidden files: 0
=======
hijackthis-Logfile
---------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:52:06, on 11.02.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\drivers\NirCmd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
E:\HiJack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234347599859
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NirSoft Service Controler - Unknown owner - C:\WINDOWS\system32\drivers\NirCmd.exe
--
End of file - 2467 bytes
=======
Die "uninstall_list"-txt.
---------
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Malwarebytes' Anti-Malware
Marvell Miniport Driver
Panda ActiveScan 2.0
Realtek High Definition Audio Driver
Update für Windows XP (KB898461)
Windows Installer 3.1 (KB893803)
Windows XP-Hotfix - KB842773
========
Daraus werde ich leider nicht weiter schlau, aber vielleicht ja einer von euch.