Brauche dringend HIlfe bei einemMalware-Virus

Hallo zusammen,
zuerst einmal eine Warnung an alle die x-fire nutzen. Mein besagter Virus öffnet nämlich automatisch ein Fenster, schreibt schau dir mal das Bild an
und sendet einen link dazu! Nun stößt man auf einen download, denkt nicht böses denn ein Freund schickt einem ja diesen link und läd sich den Virus runter, Anti-Vir schlägt keinen Alarm!
Nun habe ich einen Malware Virus auf meinem PC, laut Antivir in User/AppData/local/Micorsoft/Windows/Temporary Internet Files....
Die Viren Seiten in diesem Ordner lassen sich aber nicht löschen!
Ich habe leider keine Ahnung was ich nun tun soll, auch mein Antivir kann die Dateien nicht löschen.....Eine Systemwiderherstellung schlug schon mehrmals Fehl!

Ich erbitte daher Hilfe wie ich speziel in meinem Fall den Virus unschädlich machen kann!!

Bisher öffnet er in Xfire chat Fenster und tippt die Nachricht automatisch ein hat sie aber noch nicht weiterverschickt....ich weiß nicht ob er dies bei anderen Chat-Programmen uach macht!
Desweiteren öffnet er immer mal wieder irgendeine Sinnlose Seite mit dem Internet explorer (irgendein dämliches Browsergame oder sontiges)

Mehr habe ich derzeit noch nicht beobachtet!


Vielen Dank für eure Hilfe!

 

hallo,
bitte
http://download.bleepingcomputer.com/sUBs/dds.scr
auf den desktop herunterladen und ausführen.

es öffnen sich zwei logs, dds.txt und attach.txt.

den dds.txt-bericht abspeichern und im thread anhängen.

 

DDS (Ver_10-03-17.01) - NTFSx86
Run by Benny at 17:43:09,00 on 19.05.2010
Internet Explorer: 7.0.6002.18005 BrowserJavaVersion: 1.6.0_17
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3068.1424 [GMT 2:00]

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

============== Running Processes ===============

C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\STacSV.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\rundll32.exe
C:\Windows\system32\Hpservice.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\aestsrv.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe
C:\Windows\system32\PnkBstrA.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\PnkBstrB.exe
C:\Program Files\SMINST\BLService.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
C:\Windows\System32\TUProgSt.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\System32\alg.exe
C:\Windows\system32\taskeng.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\Iworeb.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Users\Public\winsvcn.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Windows\system32\svchost.exe -k netsvcs
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Benny\AppData\Local\Temp\Iem.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\rundll32.exe
C:\Users\Benny\Desktop\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb
uDefault_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb
mDefault_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb
uInternet Settings,ProxyOverride = *.local
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Little Fighter 2 Toolbar Helper: {ae90c38c-97cf-4696-b290-c7973dc9675e} - c:\program files\little fighter 2 toolbar\v3.3.0.1\Little_Fighter_2_Toolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: Little Fighter 2 Toolbar: {c3cd744d-2fae-4640-8297-16b5da423104} - c:\program files\little fighter 2 toolbar\v3.3.0.1\Little_Fighter_2_Toolbar.dll
uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe
uRun: [WindowsUpdateService] c:\users\public\winsvcn.exe
uRun: [Canaveral] rundll32.exe c:\windows\system32\sshnas21.dll,BackupReadW
uRun: [M5T8QL3YW3] c:\users\benny\appdata\local\temp\Iem.exe
mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe
mRun: [CLMLServer for HP TouchSmart] "c:\program files\hewlett-packard\touchsmart\media\kernel\clml\CLMLSvc.exe"
mRun: [UCam_Menu] "c:\program files\hewlett-packard\media\webcam\muitransfer\muistartmenu.exe" "c:\program files\hewlett-packard\media\webcam" update "software\hewlett-packard\media\Webcam"
mRun: [UpdateLBPShortCut] "c:\program files\cyberlink\labelprint\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\labelprint" updatewithcreateonce "software\cyberlink\labelprint\2.5"
mRun: [UpdatePSTShortCut] "c:\program files\cyberlink\dvd suite\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\dvd suite" updatewithcreateonce "software\cyberlink\PowerStarter"
mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
mRun: [QlbCtrl.exe] c:\program files\hewlett-packard\hp quick launch buttons\QlbCtrl.exe /Start
mRun: [UpdateP2GoShortCut] "c:\program files\cyberlink\power2go\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\power2go" updatewithcreateonce "software\cyberlink\power2go\6.0"
mRun: [UpdatePDIRShortCut] "c:\program files\cyberlink\powerdirector\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\powerdirector" updatewithcreateonce "software\cyberlink\powerdirector\7.0"
mRun: [hpWirelessAssistant] c:\program files\hewlett-packard\hp wireless assistant\HPWAMain.exe
mRun: [IntelliPoint] "c:\program files\microsoft intellipoint\ipoint.exe"
mRun: [Profiler] c:\program files\saitek\software\Profiler.exe
mRun: [SaiSmart] c:\program files\saitek\software\SaiSmart.exe
mRun: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [LogMeIn Hamachi Ui] "c:\program files\logmein hamachi\hamachi-2-ui.exe" --auto-start
mRun: [WindowsUpdateService] c:\users\public\winsvcn.exe
StartupFolder: c:\users\benny\appdata\roaming\micros~1\windows\startm~1\programs\startup\onenot~1.lnk - c:\program files\microsoft office\office12\ONENOTEM.EXE
StartupFolder: c:\users\benny\appdata\roaming\microsoft\windows\start menu\programs\startup\sysjda32.exe
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~3\office12\EXCEL.EXE/3000
IE: {E59EB121-F339-4851-A3BA-FE49C35617C2} - c:\program files\icq6.5\ICQ.exe
IE: {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\games\pokerstars\PokerStarsUpdate.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~3\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\program files\common files\lightscribe\LSRunOnce.exe"

================= FIREFOX ===================

FF - ProfilePath - c:\users\benny\appdata\roaming\mozilla\firefox\profiles\tmmrwsk9.default\
FF - prefs.js: browser.startup.homepage - gmx.de
FF - component: c:\users\benny\appdata\roaming\mozilla\firefox\profiles\tmmrwsk9.default\extensions\radiobar@toolbar\components\toolbarhomewmp.dll
FF - plugin: c:\programdata\nexoneu\ngm\npNxGameeu.dll
FF - plugin: c:\users\benny\appdata\roaming\move networks\plugins\071802000001\npqmp071802000001.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

============= SERVICES / DRIVERS ===============

R2 {55662437-DA8C-40c0-AADA-2C816A897A49};{55662437-DA8C-40c0-AADA-2C816A897A49};c:\program files\hewlett-packard\media\dvd\000.fcl [2008-9-26 59376]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [2009-12-18 110304]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\driverstore\filerepository\stwrt.inf_805f33de\AEstSrv.exe [2009-1-5 77824]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\avira\antivir desktop\sched.exe [2010-3-25 135336]
R2 AntiVirService;Avira AntiVir Guard;c:\program files\avira\antivir desktop\avguard.exe [2010-3-25 267432]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [2008-1-21 21504]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\logmein hamachi\hamachi-2.exe [2010-3-30 1107336]
R2 hpsrv;HP Service;c:\windows\system32\hpservice.exe [2008-3-18 19456]
R2 NIHardwareService;NIHardwareService;c:\program files\common files\native instruments\hardware\NIHardwareService.exe [2010-2-26 3623424]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\sminst\BLService.exe [2008-10-22 365904]
R2 TeamViewer4;TeamViewer 4;c:\program files\teamviewer\version4\TeamViewer_Service.exe [2009-7-30 185640]
R3 Com4QLBEx;Com4QLBEx;c:\program files\hewlett-packard\hp quick launch buttons\Com4QLBEx.exe [2008-10-22 193840]
R3 enecir;ENE CIR Receiver;c:\windows\system32\drivers\enecir.sys [2008-9-4 54784]
R3 JMCR;JMCR;c:\windows\system32\drivers\jmcr.sys [2008-8-7 97536]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-8-6 44576]
R3 rig3avs;rig3avs;c:\windows\system32\drivers\rig3avs.sys [2009-11-5 25600]
R3 rig3usb;rig3usb;c:\windows\system32\drivers\rig3usb.sys [2009-11-5 185856]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\common\database\bin\fbserver.exe [2009-4-28 1527900]
S3 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]

=============== Created Last 30 ================

2010-05-19 10:45:57 183808 ----a-w- c:\windows\Iworeb.exe
2010-05-18 13:22:10 181248 ----a-w- c:\windows\Iworea.exe
2010-05-16 07:53:04 4 ----a-w- c:\users\benny\appdata\roaming\ofubwi.dat
2010-05-16 07:53:01 8 ----a-w- c:\users\benny\appdata\roaming\avdrn.dat
2010-05-15 13:17:23 214016 ----a-w- c:\windows\system32\sshnas21.dll
2010-05-12 11:50:14 738816 ----a-w- c:\windows\system32\inetcomm.dll
2010-05-09 07:50:12 0 d-----w- c:\programdata\Google
2010-05-08 22:39:01 0 d-----w- c:\programdata\DivX
2010-05-07 19:52:46 41872 ----a-w- c:\windows\system32\xfcodec.dll
2010-05-01 11:46:23 45568 ----a-w- c:\windows\UniFish3.exe
2010-04-24 09:44:20 0 dc-h--w- c:\programdata\{3FC66E2C-85B6-4398-82FB-C13C51DE9DD8}
2010-04-24 09:41:15 0 dc-h--w- c:\programdata\{20EFD19B-675C-417B-A498-B0161D72FF88}

==================== Find3M ====================

2010-05-19 11:35:45 77291 ----a-w- c:\programdata\nvModes.dat
2010-05-19 06:04:49 633836 ----a-w- c:\windows\system32\perfh007.dat
2010-05-19 06:04:49 127776 ----a-w- c:\windows\system32\perfc007.dat
2010-05-12 19:22:20 215160 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-05-12 19:21:11 138544 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-05-06 08:36:38 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-03-25 12:18:43 665600 ----a-w- c:\windows\inf\drvindex.dat
2010-03-25 12:18:43 51200 ----a-w- c:\windows\inf\infpub.dat
2010-03-25 12:18:42 86016 ----a-w- c:\windows\inf\infstor.dat
2010-03-25 12:18:42 143360 ----a-w- c:\windows\inf\infstrng.dat
2010-03-25 12:18:17 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2010-03-23 12:38:19 37665 ----a-w- c:\windows\fonts\GlobalUserInterface.CompositeFont
2010-03-09 16:25:21 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 15:42:17 834048 ----a-w- c:\windows\system32\wininet.dll
2010-03-04 17:33:45 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-20 23:06:41 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-02-20 23:05:14 30720 ----a-w- c:\windows\system32\httpapi.dll
2010-02-19 10:12:50 588472 ----a-w- c:\windows\system32\ezsvc7x.dll
2008-10-22 16:01:04 36916 ----a-w- c:\windows\inf\perflib\0407\perfd.dat
2008-10-22 16:01:04 36916 ----a-w- c:\windows\inf\perflib\0407\perfc.dat
2008-10-22 16:01:04 290748 ----a-w- c:\windows\inf\perflib\0407\perfi.dat
2008-10-22 16:01:04 290748 ----a-w- c:\windows\inf\perflib\0407\perfh.dat
2008-01-21 02:43:21 174 --sha-w- c:\program files\desktop.ini
2006-11-02 09:20:21 287440 ----a-w- c:\windows\inf\perflib\0000\perfi.dat
2006-11-02 09:20:21 287440 ----a-w- c:\windows\inf\perflib\0000\perfh.dat
2006-11-02 09:20:19 30674 ----a-w- c:\windows\inf\perflib\0000\perfd.dat
2006-11-02 09:20:19 30674 ----a-w- c:\windows\inf\perflib\0000\perfc.dat
2008-10-22 16:18:53 8192 --sha-w- c:\windows\users\default\NTUSER.DAT

============= FINISH: 17:43:34,79 ===============

 

@Antister
Das kann dir auch bei jedem anderen Messenger passieren, wenn du blauäugig Links klickst, die angeblich von Bekannten kommen.
Malware verbreitet sich über Links, die sie aus Adressbüchern erhält und das sind dann Bekannte und Freunde des Besitzers des infizierten PCs.

 

Danke das weiß ich inzwischen leider auch^^
Ich würde nun viel lieber wissen wie ich den ungebetenen Gast wieder verabschiede!
Ich habe schon versucht einfach den Temporary Internet Files Ordner komplett zu lsöchen und neu anzulegen denn meiner Ansicht nach sind dort keine wichtigen Daten enthalten aber der Ordner lässt sich weder umbenennen noch löschen, ich kann zwar viele Daten im Ordner löschen aber manche und ich vermute diese sind die Viren....aber ich habe nicht wirklich eine Ahnung davon ^^

 

du untertreibst.

der wurm, weswegen du um hilfe gebeten hast:
uRun: [WindowsUpdateService] c:\users\public\winsvcn.exe
mRun: [WindowsUpdateService] c:\users\public\winsvcn.exe

rogueware:
uRun: [Canaveral] rundll32.exe c:\windows\system32\sshnas21.dll,BackupReadW
2010-05-15 13:17:23 214016 ----a-w- c:\windows\system32\sshnas21.dll

uRun: [M5T8QL3YW3] c:\users\benny\appdata\local\temp\Iem.exe
gehört wahrscheinlich dazu.

bredolab(ein downloader bot):
StartupFolder: c:\users\benny\appdata\roaming\microsoft\windows\start menu\programs\startup\sysjda32.exe
2010-05-16 07:53:04 4 ----a-w- c:\users\benny\appdata\roaming\ofubwi.dat
2010-05-16 07:53:01 8 ----a-w- c:\users\benny\appdata\roaming\avdrn.dat

das
2010-05-19 10:45:57 183808 ----a-w- c:\windows\Iworeb.exe
2010-05-18 13:22:10 181248 ----a-w- c:\windows\Iworea.exe
sieht auch richtig ungesund aus.

datensicherung
http://forum.chip.de/viren-trojaner...fizierten-datentraegern-rechnern-1133907.html,
neuaufsetzen
http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html,
passwörter ändern, sicherheitskonzept überdenken.

 

Okay danke dir ein paar Frage noch,
wie schnell sollte ich all dies tun??
Was macht der Virus mit meinem PC?

 

Und ich habe noch ein Problem,
Windows Vista war vorinstaliert und ich habe keine CD/back up...

 

gestern 22 uhr 10 wäre ok

im schlimmsten fall etwas illegales

die cd hättest du gleich beim 1. einschalten erstellen sollen.

 

Recovery-CD lässt sich auch noch nachträglich erstellen, sofern die Wiederherstellungspartition noch unversehrt ist.

 

Okay das heißt ich kann über mein recovery programm selbst jetzt noch mein vista retten-...??

Illegal is der Virus natürlich....nur zerstört er etwas?

 

"dein" vista wirst du nur neu installieren bzw recovern können. zu retten ist da nix mehr.

mit illegal meine ich, dass der virus z.b. in deinem namen spam versenden, p0rn hosten oder server DDOSen könnte.

 

Okay, ich habe keine wichtigen Daten auf meinem PC, die wichtigste Software werde ich auf einem Stick sichern und dann mein Vista neuinstaieren, spam kann er mir so viel er will auf eine meiner 6 email adressen senden^^

 

Der Stick sollte auch Malwarefrei sein. Sonst fängt der Spaß wieder von vorne an. Autorun mit Druck auf Shift-Taste beim einstecken unterdrücken.

 

... das geht so einfach?

 

hallo,

ein virus ist im dds-log nicht zu erkennen.
http://de.wikipedia.org/wiki/Schadprogramm

hinsichtlich rogueware schau dir z.b. das
http://www.zdnet.de/bildergalerien_...eld_ihrer_opfer_story-39002384-41531224-1.htm
mal an.

welche schadensfunktionen der wurm genau hat, kann man näher untersuchen, ist aber für dein system, das massiv kompromittiert ist, irrelevant.

spätestens mit bredolab war der saubere neuanfang hinsichtlich vertrauenswürdigkeit unumgänglich.
diesen schädling kannst du dir als verteiler von malware vorstellen.
das tückische an der geschichte: das ist eine wundertüte, soll heißen, dass man nie genau sagen kann, was gerade auf dem "speiseplan" steht, siehe z.b. hier
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Bredolab
unter

man beachte "just a small selection".
das kann schnell unübersichtlich werden, wenn man so eine kiste im netz belässt, insbesondere dann natürlich, wenn bredolab weitere downloader installiert.

malware, die zerstören will, ist heutzutage nur noch selten anzutreffen.
es geht in erster linie um kohle.

nimm kontakt mit dem hersteller deiner kiste auf und fordere eine dvd an.

ich empfehle, wie erwähnt, die datensicherung unabhängig vom infizierten system mittels einer live-cd vorzunehmen.
auch wenn im dds-log kein virus aka file infector zu erkennen ist, sollte man vom sichern von programmen abstand nehmen.

schau dir in bezug auf wechseldatenträger das
http://www.pcwelt.de/forum/sicherhe...orial-vollst-ndige-deaktivierung-autorun.html
mal an.
imo ist es auch eine gute idee, system und sticks, externe platten etc. zu "immunisieren".
wenn man das nicht manuell machen möchte, bietet sich z.b. das
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe(option 3) an.

EDIT:

das funktioniert bei vista afaik nicht mehr.

 

Ich habe nun ein back up gemacht mein Betriebsystem ist auf 3 dvds gesichert....

 

... mit all dem Virenzeugs vom PC ?

boston meinte, dass du deine Daten sichern solltest,
nicht das Betriebsystem.

 

Okay,
mache ich etwas falsch wenn ich jetzt zuerst
http://forum.chip.de/viren-trojaner...fizierten-datentraegern-rechnern-1133907.html
diese schritte befolge und anschliesend mein etriebsystem neu instaliere?

Ich dank euch allen aufjeden fall schonmal für eure Hilfe!

@Hans: so wie ich das verstehe habe ich ein Backup vom Recovery D laufwerk gemacht welches nicht infiziert sein sollte...oder lieg ich da falsch?

 

... darüber gibt es genau 2 Meinungen.

Meine Meinung ist, dass ein befallenenes Betriebsystem
nicht mehr vertrauenswürdig ist, also warum die Sicherung?

boston hat es doch so schön erklärt,
musst nur Schritt für Schritt das machen,
was er geschrieben hat.