Forum
Tipps
News
Menu-Icon

Systemwiederherstellung aufrufen , Punkt setzen
Start , Hilfe & Supp , Zeile mit "Systemwiederherstellung"
da "einen Punktsetzen" anklicken .
Namme ggf : "nach malwarescan" 

Es ist schon sehr nett,wie man hier hilft.Jdoch würde ich mal folgendes bedenken:
Ein geschäftlich genutzter rechner soll gereinigt werden,was an und für sich zwar geht,aber ein erhebliches restrisiko beinhaltet.
Ich würde solche rechner komplet formatieren und system neu instalieren.Danach würde ich drangehen,das system abzusichern,auch gegen schädlinge.Egal wieviel arbeit dies ist,solche ein rechner ist zum arbeiten.Kann man damit nicht arbeiten,entsteht ein finanzill messbarer verlust.

@Fridolina:
Welche pogramme sind derzeit nicht wiederzubeschaffen? Bitte genaue auflistung und verwendungszweck angeben,eventuell kann man alternativen beschaffen,die kostenlos sind.Weitere optionen hätte ich auch,deren erläuterung hat hier nix zu suchen.

hallo,

@Fridolina

Hijackthis
Downloadlink: klick
Anleitung: klick

ps: nach den programmen fragt ich auch schon...bis jetzt keine angaben...

mfg Zidane 

« Letzte Änderung: 25.10.08, 22:12:28 von Zidane »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Kann mich diesmal "w" nur anschließen. Das System ist nicht mehr vertrauenswürdig!!

Sei froh das es nicht die Mail von Stayfriends war, da wäre es anders ausgegangen!!

Ging mir "oben" nur darum ,den PC ggf zur Sicherung der Daten hinzubekommen , bevor jemand auf die Idee kommt , die Platte wo anders anzuschließen !!

Knoppix / Bart-Pe wären ggf auch hilfreich .

Hallo HCK und alle anderen

So nun ist es heute der dritte Tag und der Comp. läuft völlig normal. Ich hoffe ich habe diesen Virus jetzt hinter mir, ja ihr habt ja schon alle Recht mit Vertrauenswürdig usw. allerdings habe ich ein Programm von der Steuerverwaltung drauf wo man bei der Installation richtig viel Geld zahlt und zwar ein paar tausende, vom Programm bekommt man keine CD, wenn ich jetzt wieder zur Steuerverwaltung müsste, dann müsste ich das nochmal bezahlen und dazu habe ich keine Lust, Ihr könnt mir auch nicht helfen denn das Programm ist in griechisch und ist speziell für die griechische Steuerbehörde.
Deswegen bin ich so zögerlich, alles andere bekommt man sicher so oder so wieder auf den Comp.

Ich werde einfach warten, bis jetzt alles in Ordnung.

Liebe Grüsse und vielen Dank und hoffentlich passiert mir sowas nicht wieder, habe jetzt auch Spamfigther gekauft für Incredi Mail, Karpensky hab ich und Malebytes jetzt auch. Ich offe nun bin ich geschützt fürs nächste Mal.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ein scan mit Combofix wäre noch sinnvoll.

Lieben Dank ersguterjunge,

kann man das aus dem Internet herunterladen? Was ist das für ein Programm?
Sag mal besteht Gefahr obwohl Karpensky im abgesicherten Modus und mit deaktivierter Sys-Wiederherstellung in 5x desinfiziert hat.

Ich bin über jeden Tip froh, ist wirklich nicht möglich ihn zu formatieren sonst hätte ich es schon längst getan. Leider habe ich mein Geschäft in Griechenland.

Liebe Grüsse und Danke

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Combofix ist frei downloadbar: hier ein Link, benutz die Anleitung und poste am ende vom scan das Logfile.

http://virus-protect.org/artikel/tools/combofix.html

Hallo ersguterjunge,

Du bringst mich vielleicht zum Schwitzen, habe das gerade versucht, da stand was von CClean, habe ich gemacht, fragte mich ob Datein löschen da wurde es mir ganz schön murmelig, habe aber ja gesagt.
Also wieder über Deinen Link zu Combofix, ausführen hat dann auch geladen, allerdings kam eine Meldung ich kann nicht unter gleichem Namen soll was nummerisches eingeben, was ist das, wo ist nun das Programm. Bin ich vielleicht zu dumm? Bin ja auch blond ;D

Liebe Grüsse Sylvia, lass mich jetzt nicht hängen

Hallo ersguterjunge,

ja ja Du warst weg, hab es aber trotzdem geschafft allerdings hatte ich die englische Version. Bevor ich das Log reinstelle, nur kurz, ein paar Fragen. Was mache ich nun mit den Programmen Hijack, Cclean und Combofix,Malebyte, soll ich die jetzt wieder alle löschen, habe jetzt alle diese Programme auf dem Desktop.

So und hier nun der Logfile:

Lieben Dank für die Analyse und hoffentlich ist jetzt endlich Schluss mit diesen Viren bei mir, Sylvia

ComboFix 08-10-25.01 - Sylvia 2008-10-26 22:35:00.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1253.1.1031.18.197 [GMT 2:00]
Running from: D:\Dokumente und Einstellungen\Sylvia\Desktop\ComboFix.exe
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((   Files Created from 2008-09-26 to 2008-10-26  )))))))))))))))))))))))))))))))
.

2008-10-26 21:59 . 2008-10-26 21:59   <DIR>   d--------   D:\Programme\CCleaner
2008-10-26 21:59 . 2008-10-26 21:59   <DIR>   d--------   D:\Dokumente und Einstellungen\Sylvia\Startmenu
2008-10-26 21:42 . 2008-10-26 21:42   <DIR>   d--------   D:\Programme\Trend Micro
2008-10-25 20:41 . 2008-10-25 20:41   <DIR>   d--------   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-10-25 20:40 . 2008-10-25 20:40   <DIR>   d--------   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-10-25 15:06 . 2008-10-25 15:06   <DIR>   d--------   D:\Programme\Malwarebytes' Anti-Malware
2008-10-25 15:06 . 2008-10-25 15:06   <DIR>   d--------   D:\Dokumente und Einstellungen\Sylvia\Anwendungsdaten\Malwarebytes
2008-10-25 15:06 . 2008-10-25 15:06   <DIR>   d--------   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-25 15:06 . 2008-10-22 15:10   38,496   --a------   D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-25 15:06 . 2008-10-22 15:10   15,504   --a------   D:\WINDOWS\system32\drivers\mbam.sys
2008-10-24 21:07 . 2008-10-24 21:07   552   --a------   D:\WINDOWS\system32\d3d8caps.dat
2008-10-24 19:16 . 2008-10-24 19:56   <DIR>   d--------   D:\WINDOWS\system32\CatRoot_bak
2008-10-24 17:30 . 2008-10-24 17:43   96,976   --a------   D:\WINDOWS\system32\drivers\klin.dat
2008-10-24 17:30 . 2008-10-24 17:30   87,855   --a------   D:\WINDOWS\system32\drivers\klick.dat
2008-10-24 17:29 . 2008-10-24 17:29   <DIR>   d--------   D:\Programme\Kaspersky Lab
2008-10-24 17:29 . 2008-10-26 12:46   <DIR>   d--------   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-24 17:29 . 2008-10-26 22:37   3,591,200   --ahs----   D:\WINDOWS\system32\drivers\fidbox.dat
2008-10-24 17:29 . 2008-10-26 22:37   409,632   --ahs----   D:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-24 17:29 . 2008-10-26 22:37   31,232   --ahs----   D:\WINDOWS\system32\drivers\fidbox.idx
2008-10-24 17:29 . 2008-10-26 22:37   4,576   --ahs----   D:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-24 17:25 . 2008-10-24 17:25   <DIR>   d--------   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-26 20:38   ---------   d-----w   D:\Programme\SPAMfighter
2008-10-25 18:42   ---------   d-----w   D:\Programme\IncrediMail
2008-10-24 14:39   ---------   d-----w   D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-11 17:39   ---------   d-----w   D:\Dokumente und Einstellungen\Sylvia\Anwendungsdaten\U3
2008-08-28 10:04   333,056   ----a-w   D:\WINDOWS\system32\drivers\srv.sys
2006-09-07 09:40   26,624   ----a-w   D:\Dokumente und Einstellungen\Sylvia\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="D:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="D:\Programme\Skype\Phone\Skype.exe" [2007-02-09 25388584]
"IncrediMail"="D:\Programme\IncrediMail\bin\IncMail.exe" [2008-10-16 243072]
"swg"="D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-03 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Device Detector"="D:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe" [2003-11-26 217088]
"RemoteControl"="D:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="D:\Programme\Ahead\InCD\InCD.exe" [2005-01-03 1385472]
"HP Software Update"="D:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"SPAMfighter Agent"="D:\Programme\SPAMfighter\SFAgent.exe" [2008-07-29 321672]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 D:\WINDOWS\SOUNDMAN.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="D:\WINDOWS\system32\sti_ci.dll" [2004-08-04 137216]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LexBceS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"D:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"D:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"D:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"D:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"D:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;D:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R2 SPAMfighter Update Service;SPAMfighter Update Service;D:\Programme\SPAMfighter\sfus.exe [2008-07-29 184968]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;D:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S3 AvFlt;Antivirus Filter Driver;D:\WINDOWS\system32\drivers\av5flt.sys [ ]
S3 netModUSBService;Service for netMod USB CAPI Driver;D:\WINDOWS\system32\drivers\nMUSB.sys [2004-09-08 62824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Lexmark X1100 Series - D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
HKLM-Run-zzz_ImInstaller_Magentic - D:\Dokumente und Einstellungen\Sylvia\Lokale Einstellungen\Temp\ImInstaller\Magentic\magentic_install.exe
Notify-WgaLogon - (no file)


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie
R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
O8 -: Nach Microsoft &Excel exportieren - D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-26 22:39:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: D:\WINDOWS\system32\winlogon.exe
-> D:\WINDOWS\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
D:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Programme\IncrediMail\bin\IMApp.exe
D:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
D:\WINDOWS\system32\msiexec.exe
D:\Programme\HP\Digital Imaging\bin\hpqste08.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Completion time: 2008-10-26 22:41:38 - machine was rebooted
ComboFix-quarantined-files.txt  2008-10-26 20:41:34

Pre-Run: 3.442.704.384 Bytes frei
Post-Run: 3,697,160,192 Bytes frei

153   --- E O F ---   2008-10-24 18:03:33
 

@Fridolina:
Mal eine generelle frage:
Es ist Dein rechner,Du bist dafür verantwortlich.oder sehe ich da etwas falsch?Das system ist nicht mehr vertrauenswürdig.Dir wird man Ärger bereiten,wenn von diesem rechner schaden ausgeht.Da ist die gebühr,um ein pogramm neu zu instalieren,eher billig gegen.
Ich würde mir ein festplatte extra kaufen,um nach einer neuinstalation ein image aufzuspielen.
Nach instalation der spezialsoftware kann man wieder ein image machen.Aufgrund deränderungen lassen sie die dateien sicher finden,die angeblich so speziell sind.
Auch andere möglichkeiten sind denkbar.

Jedoch scheint dir das restrisiko,welches Deinem rechner anhaftet,geringer zu sein,als lehrgeld zu zahlen.
Nur mal als Info:
http://malte-wetz.de.vu/index.php?viewPage=sec-removal.html
http://technet.microsoft.com/en-us/library/cc512587.aspx

Das sind sicher keine Stümper.Denke bitte über die folgen  nach,sollten noch reste im system bleiben.Die seltsamen werkzeuge finden nicht alles,egal,was hier einige leute verzapfen.Nur weil eine bedrohung weg ist,wird Niemand Dir garantieren,das nicht irgendwo noch eine hintertüre ist.

Ach ja,Manches ach so spezielle pogramm ist seltsamerweise im netz zu bekommen.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Das Combofix Logfile sieht okay aus!

w hat schon recht, ausschließen das man besucher hat,kann man nicht. Bin mir jedoch ziemlich sicher, das die Reste keinen Schaden mehr machen werden.

>> Was mache ich nun mit den Programmen Hijack, Cclean und Combofix,Malebyte, soll ich die jetzt wieder alle löschen, habe jetzt alle diese Programme auf dem Desktop. <<<

Die lass schön drauf !
Malwarbytes immer im abges.Modusstarten , 1. Update , 2. Vollscan machen .

Würde ich jetzt zum Abschluss nochmal machen .
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Combofix bitte noch entfernen:

Start -> Ausführen -> Combofix /U


« unerwünschtes programm antivirus 2009wie kann ich ultimate antivirus 2008 abschalten oder deinstallieren? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Systemwiederherstellung
Microsoft hat mit Windows ME die  Systemwiederherstellung eingeführt: Während des Betriebes lassen sich "Wiederherstellungspunkte" setzen, auf die spä...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Betriebssystem
Das Betriebssystem ist das Steuerungsprogramm des Computers, das als eines der ersten Programme beim Hochfahren des Rechners geladen wird. Arbeitsspeicher, Festplatten, E...