You are not logged in.

Thursday, May 23rd 2013, 7:01pm

Viren gefunden - HILFE!

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • 1
  • 2

Xilef

  • "Xilef" started this thread

Date of registration:
Apr 17th 2012

Version:
Avira Free Antivirus

Operating System:
Windows XP

  • Send private message

21

Thursday, April 19th 2012, 7:30pm

So, der Suchlauf von combofix ist beendet - ich habe nun nur das Problem euch die Logdatei zukommen zu lassen, da mein Laptop mir Folgendes sagt, wenn ich versuche Firefox zu starten:

"Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde."

Kann ich gefahrlos nen USB-Stick nutzen um die das combofix-Log von dem anderen Rechner, von dem aus ich auch das hier im Moment schreibe, hochzuladen???

Vielen Dank für die Hilfe!

Edit: Ich muss gestehen, dass meine Hoffnung immer mehr schwindet, den PC ohne komplettes "Reinemachen" wieder gesund zu bekommen :(
Falls das tatsächlich ansteht: birgt der Trojaner irgendeine Gefahr für meine Dateien, wie Musik, Dokumente etc.? Oder kann ich die sicher kopieren?

This post has been edited 1 times, last edit by "Xilef" (Apr 19th 2012, 7:36pm)

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

22

Thursday, April 19th 2012, 7:42pm

Quoted from "Xilef"

Ich muss gestehen, dass meine Hoffnung immer mehr schwindet, den PC ohne komplettes "Reinemachen" wieder gesund zu bekommen


Sowas passiert schon mal - Kein unglück - Neuaufsetzen macht den PC frisch - :D

***

Bitte mach jetzt mal einen genüsslichen Reboot / Neustart
und versuche dann erneut das Cfix log upzuloaden

Falls es nicht klappt melde dich bitte

Rajo
Telepolis

Xilef

  • "Xilef" started this thread

Date of registration:
Apr 17th 2012

Version:
Avira Free Antivirus

Operating System:
Windows XP

  • Send private message

23

Thursday, April 19th 2012, 8:45pm

Erstaunlich was ein Neustart so alles wieder ins Lot bringt :)

Also hier das cfix log:

ComboFix 12-04-19.01 - Felix 19.04.2012 19:02:54.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.49.1031.18.3070.2156 [GMT 2:00]
ausgeführt von:: c:\users\Felix\Downloads\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
c:\windows\unin0411.exe
.
Infizierte Kopie von c:\windows\system32\Drivers\atapi.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys wurde wiederhergestellt
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-19 bis 2012-04-19 ))))))))))))))))))))))))))))))
.
.
2012-04-19 17:09 . 2012-04-19 17:13 -------- d-----w- c:\users\Felix\AppData\Local\temp
2012-04-19 17:09 . 2012-04-19 17:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-04-17 20:53 . 2012-04-17 20:53 -------- d-----w- c:\users\Felix\AppData\Roaming\Malwarebytes
2012-04-17 20:52 . 2012-04-17 20:52 -------- d-----w- c:\programdata\Malwarebytes
2012-04-17 20:52 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-04-17 20:52 . 2012-04-17 20:52 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-04-17 12:50 . 2012-03-14 02:15 6582328 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{E63B4D49-B3B5-46DC-88DF-F51069BD360C}\mpengine.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-23 08:18 . 2009-10-08 17:40 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-02-16 00:00 . 2012-02-09 00:14 137416 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-03-19 23:19 . 2012-01-19 21:03 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\program files\Winload\tbWinl.dll" [2010-03-17 2355224]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
2010-03-17 13:45 2355224 ----a-w- c:\program files\Winload\tbWinl.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\program files\Winload\tbWinl.dll" [2010-03-17 2355224]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{40C3CC16-7269-4B32-9531-17F2950FB06F}"= "c:\program files\Winload\tbWinl.dll" [2010-03-17 2355224]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ----a-w- c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ----a-w- c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ----a-w- c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-02-19 1232896]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"SansaDispatch"="c:\users\Felix\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe" [2011-01-05 79872]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"recinfo722"="c:\recinfo\RecInfo.exe" [2007-10-23 2764800]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-24 1983816]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-18 767312]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-12-15 258512]
"ApplyEsf-eDocPrintPro"="c:\program files\Common Files\MAYComputer\eDocPrintPro\\ApplyEsf.exe" [2010-11-25 315392]
.
c:\users\Felix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Felix\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-2-15 24246216]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Felix\AppData\Roaming\Mozilla\Firefox\Profiles\hx8uqhyo.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.
.
**************************************************************************
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SansaDispatch = c:\users\Felix\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe???????U??@?[???[?F???????c:\users\Felix\AppData\Roaming\SanDisk\Sansa U
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien:
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3961039324-1149360920-215470752-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*i*n*i*ëeÝ[\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-3961039324-1149360920-215470752-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*m*p*žJÓ3\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-3961039324-1149360920-215470752-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:88,03,e4,7f,f0,98,06,64,e8,ee,6b,53,e9,84,c3,0c,dc,f1,30,cc,98,25,91,
27,6c,86,68,fe,7f,01,fd,5b,d3,1c,c7,d9,f5,39,fa,a9,56,9e,6c,8a,90,e1,c3,0f,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(1904)
c:\users\Felix\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conime.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\ehome\mcupdate.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-19 19:23:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-04-19 17:23
.
Vor Suchlauf: 15 Verzeichnis(se), 54.267.822.080 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 58.566.447.104 Bytes frei
.
- - End Of File - - 375C3AE1493491E37E9FD341DF3FE514

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

24

Thursday, April 19th 2012, 9:01pm

bitte noch folgendes - dauer ca 10 -15 min

G E R M A N TDSSKILLER


Besorge Dir TDssKiller noch mal machen
bitte genau nach Anleitung - und bitte auch das Utility - Neu und frisch von der webseite
downloaden -

**

Hole Dir tdssKiller entpacke es aufs Desktop
http://support.kaspersky.com/downloads/utils/tdsskiller.exe

starte das Programm - Win7 und Vista bitte mit rechtem Mausklick als ADMINISTRATOR !
das ist wichtig - mit normalen Userrechten ist der Scan unsinnig -

klicke > Change Parameters und stelle ein wie im Bild

klicke ok
klicke start scan
Wenn der scan beendet ist gibt es eine Liste mit gefundenen Objekten mit Beschreibung

- Das Utility wählt automatisch eine Aktion aus : Cure oder delete
Note[1] : wähle cure und klicke continue
Note[2] : wenn cure nicht verfügbar wähle skip wähle nicht delete !

Das utility fordert den User auf eine Aktion zu wählen für suspicious (verdächtige) Objekte ist "skip" voreingestellt
wenn kein Reboot erforderlich, klicke auf Report .
Sonst Neustart bitte !
Ein log sollte erscheinen
das Utility schreibt außerdem das Log Datei in das RootVerzeichniss also C:\
inder form Utility Name.version_Datum_Zeit_log.txt | E.g. C:\TDSSKiller.2.4.17.0_10.02.2011_11.20.55_log.txt;
Sende das log zu Pastebin.com und poste die URL in deiner nächsten Antwort



Rajo


edit :

der Kamerad gehört auch noch verarztet ist klar ne

Quoted

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\program files\Winload\tbWinl.dll" [2010-03-17 2355224]
Telepolis

This post has been edited 1 times, last edit by "Rajo" (Apr 19th 2012, 9:05pm)

Xilef

  • "Xilef" started this thread

Date of registration:
Apr 17th 2012

Version:
Avira Free Antivirus

Operating System:
Windows XP

  • Send private message

25

Thursday, April 19th 2012, 9:07pm

Hallo und Vielen Dank!

Ich würde den Scan gerne ausführen, aber es kommt nur ne Fehlermeldung "Der Verzeichnisname ist ungültig".

Wie behebe ich das nun wieder :wacko:

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

26

Thursday, April 19th 2012, 9:32pm

Bitte beschreibe mal was du tust -

bitte schritt für schritt -
lass nichts aus . ;( :rolleyes:

Rajo
Telepolis

Nighthawk

Community member

  • Send private message

27

Thursday, April 19th 2012, 10:09pm

Weiß grad nicht ob wir das System wirklich noch retten sollten - da ist imho schon zuviel verbogen und durchlöchert.
HijackThis / Spybot SD / Deaktivierung Systemwiederherstellung / Virustotal / ActiveX / Avira WebformularSuperantispyware / Java Update

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Operating System:
AmigaOS 3.9, Ubuntu 11.04 & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

28

Thursday, April 19th 2012, 10:24pm

Wenn man die bisher investierte Zeit sieht gebe ich Nighthawk Recht.
Meine PCs: Amiga 1200 und WinUAE 2.0.x. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

29

Thursday, April 19th 2012, 10:31pm

Dann aber los

Okay - Ich hole die Dampfwalze .....

Rajo
Telepolis

Xilef

  • "Xilef" started this thread

Date of registration:
Apr 17th 2012

Version:
Avira Free Antivirus

Operating System:
Windows XP

  • Send private message

30

Sunday, April 22nd 2012, 10:07pm

Vielen Dank für Eure Hilfe, echt super von Euch!!!

Na dann, werde ich die Rettungsversuche mal sein lassen... ;(

Habe aber trotzdem noch drei Fragen:
1. Kann ich bedenkenlos Dateien wie Bilder, Musik, Dokumente etc. auf ner externen Festplatte sichern, oder muss ich Angst haben, dass sich der Virus auch auf diese ausgebreitet hat???
2. Muss ich Angst um z.B. Passwörter unterschiedlicher Internet-Accounts haben?
3. Muss ich beim Formatieren irgendwas besonderes beachten, damit sich der Virus nicht doch irgendwie rettet?

Ich danke euch! Ihr habt mir sehr geholfen :)
Viele Grüße und einen guten Start in die Woche!

Xilef

  • "Xilef" started this thread

Date of registration:
Apr 17th 2012

Version:
Avira Free Antivirus

Operating System:
Windows XP

  • Send private message

31

Monday, April 23rd 2012, 5:57pm

Ach ja, nochwas:

Soll ich die beiden Dateien vor der Formatierung aus der Quarantäne löschen, oder ist das nicht mehr notwendig?
Vielen Dank für die Hilfe :!:

Nighthawk

Community member

  • Send private message

32

Monday, April 23rd 2012, 6:17pm

Quoted from "Xilef"

Soll ich die beiden Dateien vor der Formatierung aus der Quarantäne löschen, oder ist das nicht mehr notwendig?


Nein nicht notwendig.

zu 1. - Ja kannst du sichern - aber dann vom neuen System aus nochmal gründlich scannen.
zu 2. - Am besten alle ändern - sicher ist sicher.
zu 3. - Nein - formatieren lässt an sich nix mehr übrig.
HijackThis / Spybot SD / Deaktivierung Systemwiederherstellung / Virustotal / ActiveX / Avira WebformularSuperantispyware / Java Update

Xilef

  • "Xilef" started this thread

Date of registration:
Apr 17th 2012

Version:
Avira Free Antivirus

Operating System:
Windows XP

  • Send private message

33

Monday, April 23rd 2012, 6:25pm

Vielen Dank für die Antwort Nighthawk!

Reicht bei "vom neuen System aus gründlich scannen" avira antivir aus, oder sollte antimalware etc. auch noch hinzugezogen werden?
Weil antivir und antimalware ja letzten Endes direkt nach dem gemeldeten Befall schon nichts mehr gefunden haben... (zumindest nichts für mich Ersichtliches)

Nighthawk

Community member

  • Send private message

34

Monday, April 23rd 2012, 6:27pm

Quoted from "Xilef"

i "vom neuen System aus gründlich scannen" avira antivir au


Ja das reicht aus.
HijackThis / Spybot SD / Deaktivierung Systemwiederherstellung / Virustotal / ActiveX / Avira WebformularSuperantispyware / Java Update

Xilef

  • "Xilef" started this thread

Date of registration:
Apr 17th 2012

Version:
Avira Free Antivirus

Operating System:
Windows XP

  • Send private message

35

Monday, April 23rd 2012, 6:33pm

Alles klar!

Besten Dank!!! :thumbsup:
  • 1
  • 2