Unbekannter Virus

  • hallo leute,


    ich habe seit kurzen ein problem,


    ich weis nicht wie ich das beschreiben soll, es tauchen bei mir exen auf in programme.


    ein beispiel ist diese nach punkbuster für battlefield bc2 update auf dem desktop aufzufinden war:


    http://www7.pic-upload.de/15.04.11/q5aislbp3ery.jpg


    dieses rosa pixelige icon ist die datei die auch in prgramme vorkommt und gerade auf dem desktop.


    http://www7.pic-upload.de/15.04.11/aig3x7hqlq7x.jpg


    http://www7.pic-upload.de/15.04.11/dekq8lanas4.jpg


    mit dem neusten spybot search and destroy update finde ich nichts, im system 32 ist auch nichts, windows ist sauber, oder überseh ich was?
    das programm :
    F2 - REG:system.ini: UserInit=userinit.exe,C:\Program Files (x86)\qtqjxkcf\ywivikiv.exe ist löschbar, aber kommt nach dem neustart wieder, diese ywivikiv.exe startet iexplorer.exe 6 mal , 3 mal auf user, 3 mal auf system und lastet mein quad core auf 15% aus, msn, icq,skype stürzen bei verbinden ab, und iexplorer schuftet im hintergrund ohne fenster, habe iexplorer.exe zu iexplorer2.exe umbenannt, problem gelöst, aber jetzt tauchen mehr probleme auf, kann bf bc2 nicht ohne punkbuster spielen, punkbuster läuft, das spiel zeigt aber das es nicht läuft.
    hijackthis:


    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 22:34:10, on 15.04.2011
    Platform: Windows 7 (WinNT 6.00.3504)


    ich wäre für jede hilfe danke, bin gerade ratlos und warte auf eure antwort.


    mfg delaxo

    Einmal editiert, zuletzt von Volkmar ()

  • Hallo,


    Malwarebytes Anti-Malware
    Download (Free Version): Malwarebytes

    • Installiere das Programm in den vorgegebenen Pfad.
    • Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
    • Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
    • Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
    • Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
    • Falls ein Neustart verlangt wird so bitte umgehend nachkommen.
    • Poste das Logfile in deinem Thread.
    • Nachträglich kannst du den Bericht unter "Log Dateien" finden.



    OTL
    Download: http://oldtimer.geekstogo.com/OTL.exe


    1. Doppelklick auf die OTL.exe
    2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
    3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
    4. Hake an "scan all users"
    5. Unter "Extra Registrierung wähle:
    "Benutze SafeList" "LOP Prüfung" "Purity Prüfung "
    6. Kopiere in die Textbox (ohen das Wort Code):


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    userinit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    ws2ifsl.sys
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    /md5stop
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    CREATERESTOREPOINT


    7. Klicke "Scan"
    8. Es werden 2 Reporte erstellt:
    OTL.Txt sowie Extras.Txt
    Bitte beide Logs Posten!

  • OTL logfile created on: 16.04.2011 16:20:33 - Run 1
    OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\SSD\Desktop
    64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.7600.16385)
    Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

    Einmal editiert, zuletzt von Volkmar ()

  • Malwarebytes' Anti-Malware 1.50.1.1100
    Malwarebytes


    Datenbank Version: 6374


    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385


    16.04.2011 16:51:53
    mbam-log-2011-04-16 (16-51-47).txt


    Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
    Durchsuchte Objekte: 322704
    Laufzeit: 6 Minute(n), 35 Sekunde(n)


    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 1
    Infizierte Registrierungswerte: 1
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 37

    Einmal editiert, zuletzt von Volkmar ()

  • alte system platte siehe laufzeit von der aktuellen system platte xDD


    Malwarebytes


    Datenbank Version: 6374


    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385


    16.04.2011 18:09:00
    mbam-log-2011-04-16 (18-09-00).txt


    Art des Suchlaufs: Vollständiger Suchlauf (D:\|)
    Durchsuchte Objekte: 492746
    Laufzeit: 44 Minute(n), 51 Sekunde(n)


    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 20

    Einmal editiert, zuletzt von Volkmar ()

  • hmmm naja malwarebytes anti spyware kann man in die tonne klopfen.... das problem ist nicht gelöst! malware findet und löscht diese infizierte dateien,


    ABER:


    nach dem ich das programm starte wo diese infizierten dateien gelöscht wurden, tauchen sie wieder auf wie aus dem nichts.


    z.B:


    ich starte warcraft3.exe----> eine warcraft3mgr.exe wird erstellt in dem selben ordner, mit diesen pinken logo. ich befürchte das ist ein keylogger der sich mit dem speicher verbindet und durch eine DLL arbeitet, die hätt ich aber gefunden! iwas stimmt da nicht, wenn das ganze mit einen anti malware getan wäre hätt ich hier nicht ins forum geschrieben.....
    in der google suche bin ich nicht fündig geworden, da steht auch das es mit anti malware gefunden wird, mehr auch net.


    das schlimme ist das passier mit jeden programm das ich starte!


    gibs da noch lösungvorschläge?^^ wäre für jede hilfe dankbar.

  • Zitat

    hmmm naja malwarebytes anti spyware kann man in die tonne klopfen

    Na an Malwarebytes lieg das nicht. Du hast meine Anweisungen nicht befolgt, siehe hier -> No action taken. Was soll Malwarebytes da schon machen:-)
    Würde man meine Anweisungen nur mal ganz durchlesen;)


    Außerdem sind Cracks und Keygens Illegal und wie du sehen kannst verbreiten sie zu 99% Viren.


    c:\Users\SSD\Desktop\neuer ordner\Keygen.exe
    ordner\oo.defrag.professional.v14.1.305.incl.keymaker-core\CORE10k.EXE (Dont.Steal.Our.Software) -> No action taken.


    Machst du Online Banking? Wenn ja umgehend deine Bank anrufen und das Konto sperren lassen, bevor noch Geld weg kommt. Auch weitere Online Geschäfte einstellen und von einem Sauberen System aus alle wichtigen Passwörter ändern.


    Ich würde dein System neu aufsetzen!


    EDIT:


    [2011.04.15 22:53:28 | 000,000,000 | ---D | C] -- C:\Qoobox
    [2011.04.15 22:53:03 | 004,321,723 | R--- | M] () -- C:\Users\SSD\Desktop\ComboFix.exe


    Wieso hast du Combofix ausgeführt?

  • re,

    ich hatte combofix ausgeführt bevor ich den thread hier gestartet hab, dachte das hilft vielleicht.


    c:\Users\SSD\Desktop\neuer ordner\Keygen.exe
    ordner\oo.defrag.professional.v14.1.305.incl.keymaker-core\CORE10k.EXE (Dont.Steal.Our.Software) -> No action taken.


    das war bevor ich alle probleme behoben gedrückt hab, es ist alles weg keine sorge.


    ja, ich mache online banking, ich denke aber das es opera nicht betrifft, und diese passwörter gebe ich nie manuell ein, diese sind gespeichert mit ssl verschlüsselung.


    das mit system aussetzten, hmmm das dauert wieder alles so lang......aber zum glück hab ich eine SSD naja, ich denke alle programme sind infiziert mit dem kack, daher muss ich eh alles neu installieren, oder gibt es doch ne neuinstallationsfreie lösung?


    naja, ich mach mal mein sys neu^^

  • Habe alles fertig, formatiert, windows neu drauf und alles installiert was ich brauche, habe auch ein acronis backup gemacht, also jetzt ist alles gut ,danke für deine hilfe Leo^^

  • Hallo,


    das klingt gut. In Zukunft auf Keygens und Crakcs verzichten! Du hast selbst gesehn was passiert. Lieber Software Legal kaufen als später vor einem gepünderten Konto zu sitzen.


    Setze diese 10 Tipps um damit du sicherer im Web unterwegs bist.


    http://www.paules-pc-forum.de/…n-surfen-im-internet.html


    Tipp: Solltest du nicht Wissen ob eine Datei Sauber oder Böse ist kannst du diese von mehr als 40 Virenscanner überprüfen lassen.
    VirusTotal - Free Online Virus, Malware and URL Scanner

  • re,


    leider, ist nicht alles gut, es war w32.ramnit.H den ich hatte, nach dem ich dachte , formatieren, backup alles ok, zack hatte der w32.ramnit.H von der anderen fesplatte über gegriffen, altes problem, alte schwierigkeiten, ich habe erst überhaupt rausfinden müssen das es ramnit.H war.....das hat gedauert!


    ich habe dann wie folgt alle programme in den anderen laufwerken sofort gelöscht, da alles verseucht war. habe combofix laufen lassen, mit combofix.com, der hatte alles entfernt, und anschließend hab ich mir comodo security premium geholt, und alle platten scannen lassen, alles verdächtige gelöscht ca 800 infizierte dll's und exen alles was im speicher war hat er mit sich gerissen. und nu hab ich zu 100 % alles weg dank comodo security!


    leo wie kommstu drauf das OTL was bringt? das hat nix von ramnit gefunden.

  • Hallo,


    als ich gesehn hab das du Cracks und Keygens verwedenst habe ich den Support eingestellt da wir dies nicht unterschützen.


    Zitat

    alles verdächtige gelöscht ca 800 infizierte dll's


    Ja du hast einen File Infector drauf. Siehe hier: Vollständige Virenbeschreibung


    Ich werd mich darüber nochmal Informieren. Den das reicht lange noch nicht aus. Es sind wohl noch weit mehr Datein Infieziert.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!