welcher Virus und wie kriege ich den weg?

#1 moin,

also ich habe folgende Problemlagen auf meinem Computer:

- manche einfache Programme starten nicht, andere aufwendigere dagegen schon
- Internet (ich nutze ausschliesslich ein USB Modem).
- der Virus disabled auch jeden viren scanner.
- der Virus wird einige Minuten nach dem ich Windows neu aufgesetzt habe aktiv
- task manager and regedit are disabled. (allerdings gelingt es mir manchmal (nicht immer) diese beiden Funktionen ueber gpedit.msc wieder zu enablen
- eher selten, started das System erneut ohne weitere Angabe.
- Speed ist manchmal (nicht immer) bei manchen Programmen wie Flugsimulator reduziert.
- einige Harddrive lassen sich nicht anschliessen ueber USB (bei anderen Computern funktioniert genau dies aber.)


ach ja ich nutze windows xp pro mit Service pack 3 und Frameork 2.0

als Virenscanner habe ich ua. Mc Affee 2007 versucht, aber auch Norton
ohne Erfolg

Plattmachen ist keine Alternative. Zum einen habe ich Windows in den vergangenen Tagen mindestens
10x neu aufgesetzt ohne wirklichen Erfolg, zum anderen habe ich 5 zusaetzliche Festplatten, die ich zwar gerne scanne, die ich aber
naheliegender Weise nicht plattmachen will (Die Daten darauf sind viel zu wichig fuer mich)

hier der Hijack log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:14, on 08/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\xRaidSetup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\regsvr.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\FS9-1\fs9.exe
D:\fshotseat\FSHotSfx.exe
C:\WINDOWS\system32\SNDVOL32.EXE
C:\WINDOWS\system32\CNAB4RPK.EXE
E:\HiJackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe regsvr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Msn Messsenger] C:\WINDOWS\system32\regsvr.exe
O4 - HKCU\..\Run: [32NFG94-H61-2SF-N1P-5M1ERH6L6] C:\RECYCLER\S-1-5-21-4948697542-0834904668-534051784-8702\winIgn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3343 bytes

hoffentlich kann mir jemand helfen.

#2 Ueberpruefe C:\WINDOWS\system32\regsvr.exe bitte einmal bei Virustotal und poste den Link zum ERgebniss

Dann arbeite die Punkte 2-4 aus http://board.protecus.de/t23188.htm ab und poste die Reporte.

Nachtrag. Du solltest combofix als test.exe auf den Desktop speichern..
__________
MfG Ralf
SEO-Spam Hunter

#3 hier das Ergebnis von Virustotal bzgl. meiner regsvr.exe. Hinsichtlich der Punkte 2-4. /ich habe auch bereits Malwarebytes durchlaufen lassen...log siehe nach unter
==============

ombofix.exe habe ich auf dem fdesctop als test.exe installiert und im safe modus durchlaufen lassen...ohne Erfolg.

File regsvr32.exe received on 2009.06.08 15:00:29 (UTC)
Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.06.08 Virus.Win32.Virut!IK
AhnLab-V3 5.0.0.2 2009.06.08 Win32/Virut.D
AntiVir 7.9.0.180 2009.06.08 W32/Virut.U
Antiy-AVL 2.0.3.1 2009.06.08 Virus/Win32.Virut.n
Authentium 5.1.2.4 2009.06.08 W32/Virut.10496
Avast 4.8.1335.0 2009.06.07 Win32:Virut
AVG 8.5.0.339 2009.06.08 Win32/Virut
BitDefender 7.2 2009.06.08 Win32.Virtob.Gen.9
CAT-QuickHeal 10.00 2009.06.08 W32.Virut.D
ClamAV 0.94.1 2009.06.08 W32.Virut.Gen.D-5
Comodo 1285 2009.06.08 -
DrWeb 5.0.0.12182 2009.06.08 Win32.Virut.5
eSafe 7.0.17.0 2009.06.07 -
eTrust-Vet 31.6.6547 2009.06.08 Win32/Virut.10494
F-Prot 4.4.4.56 2009.06.08 W32/Virut.10496
F-Secure 8.0.14470.0 2009.06.08 Virus.Win32.Virut.q
Fortinet 3.117.0.0 2009.06.08 W32/MetaCrypt.2
GData 19 2009.06.08 Win32.Virtob.Gen.9
Ikarus T3.1.1.59.0 2009.06.08 -
K7AntiVirus 7.10.757 2009.06.08 Virus.Win32.Virut.Generic
Kaspersky 7.0.0.125 2009.06.08 Virus.Win32.Virut.q
McAfee 5639 2009.06.07 W32/Virut.gen
McAfee+Artemis 5639 2009.06.07 W32/Virut.gen
McAfee-GW-Edition 6.7.6 2009.06.08 Win32.Virut.U
Microsoft 1.4701 2009.06.08 Virus:Win32/Virut.AE
NOD32 4138 2009.06.08 Win32/Virut.O
Norman 6.01.09 2009.06.08 W32/Virut.N
nProtect 2009.1.8.0 2009.06.08 Virus/W32.Virut.D
Panda 10.0.0.14 2009.06.07 W32/Virutas.gen
PCTools 4.4.2.0 2009.06.06 Win32.Virut.Gen.5
Prevx 3.0 2009.06.08 -
Rising 21.33.03.00 2009.06.08 Win32.Virut.aw
Sophos 4.42.0 2009.06.08 W32/Vetor-A
Sunbelt 3.2.1858.2 2009.06.07 Win32.Virut.xl (v)
Symantec 1.4.4.12 2009.06.08 W32.Virut.U
TheHacker 6.3.4.3.342 2009.06.08 W32/Virut.gen2
TrendMicro 8.950.0.1092 2009.06.08 PE_VIRUT.XL-1
VBA32 3.12.10.6 2009.06.08 Virus.Win32.Virut.3
ViRobot 2009.6.8.1773 2009.06.08 Win32.Virut.G
VirusBuster 4.6.5.0 2009.06.08 Win32.Virut.Gen.5
Additional information
File size: 22528 bytes
MD5...: 52022b1468c97881eae74852c068d904
SHA1..: 84573564aa8f64d7f880f8e5c5f598e54a127da1
SHA256: bc559a73c7c5401b7d8f404c361bda79c02ef4cabdec57818d62a45ee183c652
ssdeep: -<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4c00<br>timedatestamp.....: 0xa0a0a0a0L (invalid)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1ad8 0x1c00 5.93 7facb67a3ffbdfa38f14100bed656238<br>.data 0x3000 0x42c 0x200 1.24 f3191982f025c39a4245004017cf6071<br>.rsrc 0x4000 0x8c00 0x3600 7.37 fed9cd719c01d52eb80753abd482ade7<br><br>( 5 imports ) <br>&gt; msvcrt.dll: _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __wgetmainargs, exit, _cexit, _XcptFilter, _exit, _c_exit, _except_handler3, __argc, __wargv, _wsplitpath, _wcmdln, wcslen<br>&gt; ADVAPI32.dll: RegQueryValueW, RegCloseKey, RegOpenKeyExW<br>&gt; KERNEL32.dll: SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, GetModuleHandleA, LocalAlloc, FormatMessageW, SetErrorMode, lstrcatA, WideCharToMultiByte, LoadLibraryExW, GetLastError, GetProcAddress, lstrcmpW, GetStartupInfoW, QueryPerformanceCounter, lstrlenW, lstrcpyW, lstrcatW, lstrcpynW, FreeLibrary<br>&gt; USER32.dll: LoadStringW, MessageBoxW, wsprintfW<br>&gt; ole32.dll: OleInitialize, OleUninitialize<br><br>( 0 exports ) <br>
PDFiD.: -
RDS...: NSRL Reference Data Set<br>-
=============================
Malwarebytes' Anti-Malware 1.37
Database version: 2182
Windows 5.1.2600 Service Pack 3

08/06/2009 15:44:24
mbam-log-2009-06-08 (15-44-24).txt

Scan type: Quick Scan
Objects scanned: 72870
Time elapsed: 58 second(s)

Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 2
Registry Data Items Infected: 6
Folders Infected: 0
Files Infected: 4

Memory Processes Infected:
C:\WINDOWS\system32\regsvr.exe (Backdoor.Bot) -> Unloaded process successfully.

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Protect (Rootkit.Agent) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\32nfg94-h61-2sf-n1p-5m1erh6l6 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msn messsenger (Backdoor.Bot) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe regsvr.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
c:\documents and settings\andreas\local settings\temporary internet files\Content.IE5\WH6JKHIF\load[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-4948697542-0834904668-534051784-8702\winIgn.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\regsvr.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\regsvr.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

#4 Ja, Combofix verweigert seinen Dienst, wenn es merkt, das ein Virus, hier Virut, aktiv ist.

Leider hilft hier nur ein neu aufsetzen des Rechners, da der Virut alle Dateien infiziert hat und hoechstwahrscheinlich alle Passworte ect geklaut hat!

http://board.protecus.de/t13020.htm

Sichere deine wichtigsten Daten, formatiere deine Systempartition/Festplatte und starte keine Datei aus einer externen Quelle, sei es USB-Stick, oder SD-Karten usw, bevor du den Rechner neu installiert und ein AV-Programm installiert und aktualisiert hast. Ansonsten besteht die Moeglichkeit, das du deinen REchner wieder mit dem Virus infizierst.

Beachte bitte die Reihenfolge in obigem Link und das du dir das SP3 von einem anderen Rechner herunterlaedst! In dem infizierten Zustand deines Rechners wuerdest du dir alles, was du jetzt herunterlaedst gleich wieder infizieren!
__________
MfG Ralf
SEO-Spam Hunter

#5 ok, das werde ich dann soweit so schlecht mal machen...mein Problem ist dann aber, dass ich danach die externen Harddrives anschliessen "muss". Also, wenn ich zb. McAfee 2007 installiert habe und d a n a ch erst die Harddrives anschliesse, sollte Mc Affee in der Lage seine, (dort befindliche) Viren zu identifizieren und zu blocken.

Ich werde saubere Versionen von Servicepack 3 und auch das AV Programm von einer externen CD installieren und dann die Driver fuer die Graphikkarte und das motherboard dann Schritt fuer Schritt die Harddrives anschliessen?!

#6 Ja, externe Festplatten darfst du zum sichern ersteinmal nehmen, aber am sauberen Rechner erst anschliessen, wenn Updates und AV Programm installiert sind.

Sofern du dich mit deiner installierten Hardware auskennst, kannst du auch gleich die aktuellen Treiber dafuer ueber den Rechner herunterladen, ueber den du auch das SP3 beziehst...
__________
MfG Ralf
SEO-Spam Hunter

#7 alles ist vergebens:

- Ich habe zigmal neu installiert: Windows XP mit allen updates und framework 2.0
- ich habe nur Programme von cleanen CDs installiert
- ich habe alle Dateien 2 mit der aktuellen version von McAfee (im Internet upgedated) gescannt.

Und was passiert ohne dass ich irgendetwas ungewoehnliches am Computer gemacht habe:

Fehlermeldung:
Taskmanager und regedit sind disabled (ich kann mit einigen Muehen beide Programme wieder "erreichen")
im Bereich Folder preferences (Ich habe einen englischen Rechner+Software) laesst sich die Einstellung "versteckte Dateien sichtbar" zwar einstellen, aber der Rechner kann sich dies nicht "merken!".
Internet - ich nutze ein USB modem - funktioniert nicht.

Kann sich ein Virus auch im Bios selbst einnisten und kriege ich so etwas weg.

Die beschriebenen Fehler sind natuerllich nur der Anfang. Nach meinen Erfahrungen wird als naechstes kein Programm mehr starten, dann der Computer ohne erkennbaren Grund einfach abstuerzen usw.

Irgendeine Idee, was ich jetzt noch machen kann. (BTW - habe mir eine neue Festplatte gekauft und nur diese ist im Moment angeschlossen)

Auf meinem Laptop (VISTA) habe ich uebrigens eine Reihe meiner anderen Festplatte angeschlossen und dort gibt es soweit keine Probleme

#8 DU hast etwas installiert, was nicht "sauber" war. Erstelle auf deinem PC einmal ein Combofix Report und poste diesen.

Einen "Biosvirus" gibt es so in dem Zusammenhang nicht...
__________
MfG Ralf
SEO-Spam Hunter

#9 so, ich habe allerdings diesen log ohne die Windows recovery console durchgefuehrt, da ich eben kein Internetzugang habe. (mobile partner funkioniert nicht!)
.

c:\docume~1\Andreas\LOCALS~1\Temp\DataCard_Setup.exe
c:\docume~1\Andreas\LOCALS~1\Temp\Mobile Partner\Setup.exe
c:\docume~1\Andreas\LOCALS~1\Temp\nsr24.tmp\InstallOptions.dll
c:\documents and settings\Andreas\Local Settings\Temp\DataCard_Setup.exe
c:\documents and settings\Andreas\Local Settings\Temp\Mobile Partner\Setup.exe
c:\documents and settings\Andreas\Local Settings\Temp\nsr24.tmp\InstallOptions.dll

.
((((((((((((((((((((((((( Files Created from 2009-05-15 to 2009-06-15 )))))))))))))))))))))))))))))))
.

2009-06-15 11:06 . 2007-08-24 18:45 101120 ----a-r- c:\windows\system32\drivers\ewusbmdm.sys
2009-06-15 11:06 . 2007-08-24 18:45 24448 ----a-r- c:\windows\system32\drivers\ewdcsc.sys
2009-06-15 11:05 . 2009-06-15 11:08 -------- d-----w- c:\program files\Mobile Partner
2009-06-15 11:03 . 2009-06-15 11:03 0 ----a-w- c:\windows\nsreg.dat
2009-06-15 11:03 . 2009-06-15 11:03 -------- d-----w- c:\documents and settings\Andreas\Local Settings\Application Data\Mozilla
2009-06-15 10:56 . 2009-06-15 10:56 61 --sh--w- c:\windows\cnerolf.dat
2009-06-15 10:56 . 2009-06-15 11:05 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-06-15 10:40 . 2009-06-15 10:41 -------- d-----w- c:\documents and settings\Andreas\Local Settings\Application Data\ApplicationHistory
2009-06-15 10:39 . 2009-06-15 10:39 -------- d-----w- c:\windows\system32\URTTemp
2009-06-15 10:34 . 2006-03-03 10:07 143360 ----a-w- c:\windows\system32\dunzip32.dll
2009-06-15 10:33 . 2006-12-22 15:02 32008 ----a-w- c:\windows\system32\drivers\mferkdk.sys
2009-06-15 10:33 . 2006-12-22 15:02 37480 ----a-w- c:\windows\system32\drivers\mfesmfk.sys
2009-06-15 10:33 . 2006-12-22 15:02 34184 ----a-w- c:\windows\system32\drivers\mfebopk.sys
2009-06-15 10:33 . 2006-12-22 15:02 71496 ----a-w- c:\windows\system32\drivers\mfeavfk.sys
2009-06-15 10:33 . 2006-12-22 15:02 170408 ----a-w- c:\windows\system32\drivers\mfehidk.sys
2009-06-15 10:33 . 2007-01-09 15:44 107608 ----a-w- c:\windows\system32\drivers\Mpfp.sys
2009-06-15 10:33 . 2009-06-15 10:33 -------- d-----w- c:\program files\McAfee.com
2009-06-15 10:33 . 2009-06-15 10:34 -------- d-----w- c:\program files\Common Files\McAfee
2009-06-15 10:33 . 2009-06-15 10:44 -------- d-----w- c:\program files\McAfee
2009-06-15 10:32 . 2009-06-15 10:36 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee
2009-06-15 10:25 . 2007-06-04 17:25 16048 ------w- c:\windows\system32\drivers\CLBStor.sys
2009-06-15 10:25 . 2007-06-04 17:25 162096 ------w- c:\windows\system32\drivers\CLBUDF.sys
2009-06-15 10:25 . 2007-06-04 17:24 131072 ----a-w- c:\windows\IBUnInst.exe
2009-06-15 10:24 . 2009-06-15 10:24 -------- d-----w- c:\program files\Common Files\LightScribe
2009-06-15 10:24 . 2009-06-15 10:24 -------- d-----w- c:\program files\LightScribeODK
2009-06-15 10:23 . 2007-03-22 20:28 1053232 ------w- c:\windows\system32\MFC71u.dll
2009-06-15 10:23 . 2007-03-22 20:28 1066544 ------w- c:\windows\system32\MFC71.dll
2009-06-15 10:23 . 2007-03-22 20:28 353840 ------w- c:\windows\system32\msvcr71.dll
2009-06-15 10:23 . 2007-03-22 20:27 505392 ------w- c:\windows\system32\msvcp71.dll
2009-06-15 10:22 . 2009-06-15 10:30 -------- d-----w- c:\documents and settings\Andreas\Application Data\CyberLink
2009-06-15 10:20 . 2007-02-07 15:21 29744 ------w- c:\windows\system32\msxml3a.dll
2009-06-15 10:20 . 2009-06-15 10:25 -------- d-----w- c:\program files\CyberLink
2009-06-15 10:16 . 2009-06-15 10:16 13104 ----a-w- c:\documents and settings\Andreas\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-15 10:15 . 2009-06-15 10:39 -------- d-----w- c:\windows\system32\wbem\AutoRecover
2009-06-15 10:11 . 2008-04-13 23:15 46592 ------w- c:\windows\system32\drivers\irbus.sys
2009-06-15 10:10 . 2008-04-14 04:42 11325 ------w- c:\windows\system32\drivers\vchnt5.dll
2009-06-15 10:00 . 2001-08-17 13:59 3072 ----a-w- c:\windows\system32\drivers\audstub.sys
2009-06-15 10:00 . 2008-04-14 04:41 21504 ----a-w- c:\windows\system32\hidserv.dll
2009-06-15 10:00 . 2008-04-13 23:10 57600 ----a-w- c:\windows\system32\drivers\redbook.sys
2009-06-15 10:00 . 2001-08-17 12:49 22848 ----a-w- c:\windows\system32\drivers\LwUsbHid.sys
2009-06-15 10:00 . 2001-08-17 13:46 6400 ----a-w- c:\windows\system32\drivers\enum1394.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-15 10:25 . 2009-06-15 09:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-06-15 10:19 . 2009-06-15 09:37 -------- d-----w- c:\program files\Common Files\InstallShield
2009-06-15 10:12 . 2009-06-15 09:11 80007 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-06-15 09:50 . 2009-06-15 09:50 -------- d-----w- c:\program files\Marvell
2009-06-15 09:50 . 2009-06-15 09:50 -------- d-----w- c:\documents and settings\Andreas\Application Data\TMP
2009-06-15 09:38 . 2009-06-15 09:38 -------- d-----w- c:\program files\Analog Devices
2009-06-15 09:31 . 2009-06-15 09:31 -------- d-----w- c:\program files\Intel
2009-06-15 09:29 . 2009-06-15 09:29 -------- d-----w- c:\program files\AGEIA Technologies
2009-06-15 09:23 . 2009-06-15 09:23 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-06-15 09:11 . 2009-06-15 09:11 -------- d-----w- c:\program files\microsoft frontpage
2009-06-15 09:11 . 2009-06-15 09:11 558142 ----a-w- c:\windows\java\Packages\DZX7NDV1.ZIP
2009-06-15 09:11 . 2009-06-15 09:11 2678 ----a-w- c:\windows\java\Packages\Data\3F17R7LZ.DAT
2009-06-15 09:11 . 2009-06-15 09:11 2678 ----a-w- c:\windows\java\Packages\Data\CZ5R13LR.DAT
2009-06-15 09:11 . 2009-06-15 09:11 155995 ----a-w- c:\windows\java\Packages\GKYW9N7D.ZIP
2009-06-15 09:11 . 2009-06-15 09:11 2678 ----a-w- c:\windows\java\Packages\Data\URTRT353.DAT
2009-06-15 09:11 . 2009-06-15 09:11 2678 ----a-w- c:\windows\java\Packages\Data\KF5JBF93.DAT
2009-06-15 09:11 . 2009-06-15 09:11 2678 ----a-w- c:\windows\java\Packages\Data\035VDB13.DAT
2009-06-15 09:09 . 2009-06-15 09:09 21640 ----a-w- c:\windows\system32\emptyregdb.dat
2009-04-30 21:02 . 2009-06-15 09:23 457248 ----a-w- c:\windows\system32\nvudisp.exe
2009-04-30 21:02 . 2009-04-30 21:02 9994240 ----a-w- c:\windows\system32\nvoglnt.dll
2009-04-30 21:02 . 2009-04-30 21:02 806912 ----a-w- c:\windows\system32\nvapi.dll
2009-04-30 21:02 . 2009-04-30 21:02 8055584 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-04-30 21:02 . 2009-04-30 21:02 663552 ----a-w- c:\windows\system32\nvcuvid.dll
2009-04-30 21:02 . 2009-04-30 21:02 5896320 ----a-w- c:\windows\system32\nv4_disp.dll
2009-04-30 21:02 . 2009-04-30 21:02 1720320 ----a-w- c:\windows\system32\nvcuda.dll
2009-04-30 21:02 . 2009-04-30 21:02 1579630 ----a-w- c:\windows\system32\nvdata.bin
2009-04-30 21:02 . 2009-04-30 21:02 143360 ----a-w- c:\windows\system32\nvcodins.dll
2009-04-30 21:02 . 2009-04-30 21:02 143360 ----a-w- c:\windows\system32\nvcod.dll
2009-04-30 21:02 . 2009-04-30 21:02 1314816 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-04-26 23:42 . 2009-06-15 09:23 457248 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-04-03 11:39 . 2009-04-03 11:39 70936 ----a-w- c:\windows\system32\PhysXLoader.dll
.

------- Sigcheck -------

[-] 2002-08-29 10:41 13312 905B9BCEAA4398205C2E72E3EF770FDA c:\windows\$NtServicePackUninstall$\ctfmon.exe
[-] 2008-04-14 04:42 15360 4AE9788FF04828C9FBBA2184F5D044DC c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-14 04:42 26112 1C0F61998EEF066A75483439C76334F7 c:\windows\system32\ctfmon.exe

[-] 2002-08-29 10:41 139776 9A91746C8E73E5B9BC8A780CCE8A6119 c:\windows\$NtServicePackUninstall$\wuauclt.exe
[-] 2008-04-14 04:42 111104 BFE757D5F5F42450C6097C6004A20021 c:\windows\ServicePackFiles\i386\wuauclt.exe
[-] 2008-04-14 04:42 121856 C86FD184B1660684C605859461051A34 c:\windows\system32\wuauclt.exe

[-] 2002-08-29 10:41 22016 1CC61D6A3B6F2A8A333CD1273C669F24 c:\windows\$NtServicePackUninstall$\userinit.exe
[-] 2008-04-14 04:42 26112 A01D52F38D55B4C910B0A24FF9141420 c:\windows\ServicePackFiles\i386\userinit.exe
[-] 2008-04-14 04:42 36864 5354D87E702C7656C6175A44A3605E82 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 26112]
"Power2GoExpress"="c:\program files\CyberLink\Power2Go\Power2GoExpress.exe" [2007-08-09 2503976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 131072]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 128560]
"InstantBurn"="c:\progra~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe" [2007-06-04 599600]
"MskAgentexe"="c:\program files\McAfee\MSK\MskAgent.exe" [2007-01-17 152144]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 26112]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Common Files\\McAfee\\MNA\\McNASvc.exe"=
"e:\\FS9-1\\fs9.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe"=
"c:\\WINDOWS\\system32\\CF1771.exe"=
"c:\\WINDOWS\\RaidTool\\xInsIDE.exe"=

R1 CLBStor;InstantBurn Storage Helper Driver;c:\windows\system32\drivers\CLBStor.sys [6/15/2009 11:25 AM 16048]
R2 CLBUDF;CyberLink InstantBurn UDF Filesystem;c:\windows\system32\drivers\CLBUDF.sys [6/15/2009 11:25 AM 162096]
S3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\qjgqmn.sys --> c:\windows\system32\drivers\qjgqmn.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a93f5cd6-599a-11de-a37e-001d60bda902}]
\Shell\AutoRun\command - G:\AutoRun.exe
.
Contents of the 'Scheduled Tasks' folder

2009-06-15 c:\windows\Tasks\McDefragTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2009-06-15 17:02]

2009-06-15 c:\windows\Tasks\McQcTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2009-06-15 17:02]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-NvMediaCenter - c:\windows\System32\NvMcTray.dll
HKLM-Run-NvCplDaemon - c:\windows\System32\NvCpl.dll
HKLM-Run-36X Raid Configurer - c:\windows\System32\xRaidSetup.exe
HKLM-Run-nwiz - nwiz.exe
SafeBoot-procexp90.Sys


.
------- Supplementary Scan -------
.
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Andreas\Application Data\Mozilla\Firefox\Profiles\zdte4bp4.default\

---- FIREFOX POLICIES ----
FF - user.js: dom.disable_open_during_load - true // Popupblocker control handled by McAfee Privacy Service
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-15 12:12
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(996)
c:\program files\McAfee\MSK\mskoeplg.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\McAfee\HackerWatch\HWAPI.exe
c:\progra~1\McAfee\VIRUSS~1\mcods.exe
c:\progra~1\McAfee\MSC\mcpromgr.exe
c:\progra~1\COMMON~1\McAfee\RedirSvc\RedirSvc.exe
c:\progra~1\McAfee\MPS\mps.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\McAfee\MPS\mpsevh.exe
c:\program files\McAfee\MPF\MC\MpfAlert.exe
.
**************************************************************************
.
Completion time: 2009-06-15 12:14 - machine was rebooted
ComboFix-quarantined-files.txt 2009-06-15 11:14

Pre-Run: 14,731,976,704 bytes free
Post-Run: 14,785,388,544 bytes free

219

#10 Mach dir mal die Muehe die Datei c:\windows\system32\ctfmon.exe bei Virustotal zu pruefen und poste das Ergebniss.....
__________
MfG Ralf
SEO-Spam Hunter

#11 so die Datei ...ist ziemlich verseucht, das steht fest, allerdings wie werde ich den virus jetzt los. (BTW: nach dem ich das System neu gestartet habe, funktioniert der Taskmanager, die regedit und auch das Internet, allerdings was nicht geht, ist das Starten von Programmen, selbst wenn diese keine Eintragungen im System ordner erfordern

hier das Ergebnis des screens:

Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.06.15 Virus.Win32.Virut!IK
AhnLab-V3 5.0.0.2 2009.06.15 Win-Trojan/Starter.15360
AntiVir 7.9.0.187 2009.06.15 W32/Virut.U
Antiy-AVL 2.0.3.1 2009.06.15 Virus/Win32.Virut.n
Authentium 5.1.2.4 2009.06.14 W32/Virut.10496
Avast 4.8.1335.0 2009.06.14 Win32:Virut
AVG 8.5.0.339 2009.06.15 Win32/Virut
BitDefender 7.2 2009.06.15 Win32.Virtob.Gen.9
CAT-QuickHeal 10.00 2009.06.15 W32.Virut.D
ClamAV 0.94.1 2009.06.15 W32.Virut.Gen.D-66
Comodo 1335 2009.06.15 -
DrWeb 5.0.0.12182 2009.06.15 Win32.Virut.5
eSafe 7.0.17.0 2009.06.15 -
eTrust-Vet 31.6.6556 2009.06.12 Win32/Virut.10494
F-Prot 4.4.4.56 2009.06.14 W32/Virut.10496
F-Secure 8.0.14470.0 2009.06.15 Virus.Win32.Virut.q
Fortinet 3.117.0.0 2009.06.15 W32/Metacrypt.8
GData 19 2009.06.15 Win32.Virtob.Gen.9
Ikarus T3.1.1.59.0 2009.06.15 Virus.Win32.Virut
Jiangmin 11.0.706 2009.06.15 Win32/Virut.f
K7AntiVirus 7.10.762 2009.06.12 Virus.Win32.Virut.Generic
Kaspersky 7.0.0.125 2009.06.15 Virus.Win32.Virut.q
McAfee 5646 2009.06.14 W32/Virut.gen
McAfee+Artemis 5646 2009.06.14 W32/Virut.gen
McAfee-GW-Edition 6.7.6 2009.06.15 Win32.Virut.U
Microsoft 1.4701 2009.06.15 Virus:Win32/Virut.AE
NOD32 4154 2009.06.15 Win32/Virut.O
Norman 6.01.09 2009.06.12 W32/Virut.N
nProtect 2009.1.8.0 2009.06.15 Virus/W32.Virut.D
Panda 10.0.0.14 2009.06.14 W32/Virutas.gen
PCTools 4.4.2.0 2009.06.12 Win32.Virut.Gen.5
Prevx 3.0 2009.06.15 -
Rising 21.34.03.00 2009.06.15 Win32.Virut.aw
Sophos 4.42.0 2009.06.15 W32/Vetor-A
Sunbelt 3.2.1858.2 2009.06.14 Win32.Virut.xl (v)
Symantec 1.4.4.12 2009.06.15 W32.Virut.U
TheHacker 6.3.4.3.345 2009.06.13 W32/Virut.gen2
TrendMicro 8.950.0.1092 2009.06.15 PE_VIRUT.XL-2
VBA32 3.12.10.7 2009.06.14 Virus.Win32.Virut.3
ViRobot 2009.6.15.1787 2009.06.15 Win32.Virut.G
VirusBuster 4.6.5.0 2009.06.14 Win32.Virut.Gen.5
Additional information
File size: 26112 bytes
MD5...: 1c0f61998eef066a75483439c76334f7
SHA1..: 0b8030c5c9e79319668eeebbcfb0b0262573f8c4
SHA256: 75734f4a56fb6bf531f237c37dc73f9b1365f34a95114af0cb2a02b6ed2ab973
ssdeep: -
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3ab8
timedatestamp.....: 0xa0a0a0a0L (invalid)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b68 0x2c00 6.81 832e756d1c31cdc3253442fe7b7ba532
.data 0x4000 0x210 0x200 1.07 bd8c5cd346a9f53dc0dbc69260ab2240
.rsrc 0x5000 0x8a00 0x3400 7.51 05f33fb457f3ccb5f7e289972b7e517c

( 6 imports )
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit
> ADVAPI32.dll: RegDeleteValueA, RegOpenKeyExA, RegCloseKey, RegSetValueExA, RegCreateKeyA, RegCreateKeyExA
> KERNEL32.dll: lstrcpynA, lstrlenA, GetSystemDirectoryA, GetSystemWindowsDirectoryA, GetVersionExA, GetACP, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, LocalFree, CloseHandle, ResetEvent, OpenEventA, CreateProcessA, lstrcatA, GetSystemInfo, lstrcmpiA, FreeLibrary, LoadLibraryA, CreateEventA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, LocalAlloc, GetProcAddress
> USER32.dll: EnumWindows, GetClassNameA, FindWindowA, PostMessageA, SetTimer, KillTimer, MsgWaitForMultipleObjects, PeekMessageA, TranslateMessage, DispatchMessageA, GetMessageA, SetWindowPos, LoadCursorA, RegisterClassExA, DefWindowProcA, PostQuitMessage, CreateWindowExA, GetSystemMetrics
> MSCTF.dll: TF_InitSystem, TF_GetGlobalCompartment, TF_InvalidAssemblyListCacheIfExist, TF_InvalidAssemblyListCache, TF_PostAllThreadMsg, TF_CreateCicLoadMutex, TF_UninitSystem
> MSUTB.dll: ClosePopupTipbar, GetPopupTipbar

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-

#12 Da wirst du u.a. wieder irgendeine infizierte DAtei erwischt haben. Das ist das leiden bei Viren, das man da sehr gut aussortieren muss...

Du musst eine _saubere_ neuinstallation machen und peinlichst darauf achten, keine Dateien aus deinem jetzigen Bestand zu oeffnen, eine infizierte Datei starten und deine ganze Installation ist wieder zum Teufel.....

Der Header von dem Combofix Report fehlt. Welche Version hast du genutzt?
__________
MfG Ralf
SEO-Spam Hunter

#13 ok, das mache ich dann auch ganz gern. Meine Frage aber oder besser meine Befuerchtung geht dahin, dass das auch nichts nuetzen wird. Ich habe 7 externe Festplatten mit etwa 3 Terrabyte an Daten...diese Daten sind idR Fotos, Videos; mehr als 10-12 Programme werde ich auf dem Computer nicht installieren insgesamt.

Aber was solls, wenn der Virus eine saubere exe Datei infiziert und selbst nur eine kleine Datei ist, dann ist das Vorhaben doch hoffnungslos...und wieso gibt es keine Virenkiller, die zumindest erkennen, dass sich ein Virus einnesten will und sich nicht wie McAfee gleich abschalten.

In dem Sinne...ich kann nicht alles plattmachen.

#14 Das ist das "Ei-Henne" Problem. Wenn der Virenscanner den Schaedling bereits erkennt, kann dieser nicht eindringen, erkennt er ihn nicht, besteht auch kein Schutz.

Du kannst dir als erstes einmal Online-Armor free installieren, das sollte das eindringen von Malware effektiv unterbinden.
http://www.tallemu.de/

Allerdings solltest du dann auch auf Avira Antivir free umsteigen, da dies "kompatibeler" zu Online-Armor ist, als Mcafee...
__________
MfG Ralf
SEO-Spam Hunter

#15 also. erstmal vielen Dank fuer die Tipps...mein Computer system mit den vielen FEstplatten ist jetzt McAfee clean. Letztlich war entscheidend, dass ich alle Programme, die ich regelmaessig nutze neu installiert habe und dann ueber die anderen FEstplatten den Virusscanner habe laufen lassen. Insgesamt wurden wohl um die 2000 Daten in Quarantaene genommen, 150 geloescht und etwa 10.000 repariert....
Nicht schlecht das Ausmass der Verseuchung.

Habe aber insgesamt Glueck im Unglueck gehabt, weil kaum Daten wie videos und fotos betroffen gewesen sind.