Your system is infected

Hallo,
von vorne rein, ich kenne mich nicht so gut mit dem pc aus.
Ich hoffe ich kann hier richtig hilfe finde.

Also Warnung kommt: Your system is infectet.
Das programm das die warnung auslöst heißt Pest.... mit noch was dahinter, es ist der nachfolger oder eine abwandlung von SpySheriff. Adaware oder Spybot helfen da nicht weiter.
Was kann man tuen?

 

-> verschoben nach "Viren, Trojanische Pferde & Co."

 

Welchen Schädling meldet den Pestpatrol?

Mach auch mal bitte ein Hijackthis-Log und poste den Link zur abgespeicherten Auswerung.

 

Das hier kam dabei raus

http://www.hijackthis.de/logfiles/81bb3c2b1c7d59e0fc2b38aadb3a4f2c.html

 

Das Programm das sich manchmal öffnet heißt

SpywareQuake v2.0

 

Hallo,
spywarequake sollte dein geringstes Problem sein, ich habe den Verdacht das dein System noch was schlimmeres drauf hat.
Überprüfe mal folgende Dateien:
C:\WINDOWS\System32\cmd32.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\Rar$EX00.938\SpeedSim.exe
C:\WINDOWS\System32\divxsm.exe
C:\WINDOWS\SYSTEM32\winyxc32.dll

hier und poste das Ergebnis.

Außerdem überprüfst du dein System mal mit RootkitRevealer und postest das Log (File>>Save), achte darauf während dem Scan nichts anderes zu machen und kein anderes Programm laufen zu lassen.


Grüße Jasager

 

bei dem ersten kommt dies

Analysis service has stopped.

Your response can take an undefined time. If you prefer receiving it by email when the service is restarted please fill in your email address:

Conclusions will be sent to you when the analysis has finished.

Thanks you.


kenn mich mit sowas nicht aus

 

Hallo,
scheint überlastet zu sein, versuche es mal hier oder hier.


Grüße Jasager

 

Ich hab das bei denen von dir genannten dateien getan, dies kam dabei raus:

Zu überprüfende Datei: cmd32.exe - Infiziert
cmd32.exe Infiziert: Trojan-Downloader.Win32.Agent.abz

Statistiken:
Bekannte Viren: 187103 Updated: 09-04-2006
Größe der Datei (Kb): 9 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


Zu überprüfende Datei: SpeedSim.exe
SpeedSim.exe Ok

Statistiken:
Bekannte Viren: 187103 Updated: 09-04-2006
Größe der Datei (Kb): 320 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0



Zu überprüfende Datei: divxsm.exe
divxsm.exe Ok

Statistiken:
Bekannte Viren: 187103 Updated: 09-04-2006
Größe der Datei (Kb): 760 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


Zu überprüfende Datei: winyxc32.dll - Infiziert
winyxc32.dll Infiziert: Trojan.Win32.Agent.qt

Statistiken:
Bekannte Viren: 187103 Updated: 09-04-2006
Größe der Datei (Kb): 12 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

 

Hallo,
jetzt noch das RootkitRevealer Log.



Grüße Jasager

 

Ich wollte noch eben hinzufügen das eben bei einen neustart gleich meherer dieser warnungen erschienen sind

Das System wird nach einen schwerwiegenden Fehler wieder ausgeführt.

Für diesen Fehler wurde ein Protokoll erstellt usw....


Der anderer Bericht kommt gleich

 

Hier noch der Log von RootkitRevealer

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 10.02.2006 20:13 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 10.02.2006 20:15 58 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 24.12.2005 12:33 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet001\Services\vax347s\Config\jdgg40 12.02.2006 18:32 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Kemper\Anwendungsdaten\Mozilla\Firefox\Profiles\sx1ipr4b.default\parent.lock 26.03.2006 04:53 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\win4F.tmp 09.04.2006 17:50 0 bytes Hidden from Windows API.

 

Hallo,
hmm, die Infektion ist auf jeden Fall grenzwertig, wenn du auf Nummer Sicher gehen willst solltest du das System neu aufsetzen.

Falls du dich doch, engegen meinem Ratschlag, für einen Reinigungsversuch entscheiden solltest, löschst du mal deine Temp Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren!



Grüße Jasager

 

Hier bitte:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C3A-523C

Verzeichnis von C:\WINDOWS\system32

09.04.2006 17:53 820 RootkitReveal.txt
09.04.2006 17:22 2.206 wpa.dbl
09.04.2006 15:44 8.192 interf.tlb
09.04.2006 15:30 10.332 mssearchnet.exe
09.04.2006 15:30 4.286 ot.ico
09.04.2006 15:30 176.128 stickrep.dll
09.04.2006 15:28 16.085 dfrgsrv.exe
09.04.2006 15:28 11.998 winyxc32.dll
31.03.2006 20:23 383.390 perfh009.dat
31.03.2006 20:23 53.744 perfc009.dat
31.03.2006 20:23 394.830 perfh007.dat
31.03.2006 20:23 64.796 perfc007.dat
31.03.2006 20:23 906.552 PerfStringBackup.INI
18.03.2006 12:52 34.064 lhacm.acm
05.03.2006 16:25 3.787 qtplugin.log
04.03.2006 14:47 98.304 CmdLineExt.dll
04.03.2006 13:53 262.144 wrap_oal.dll
04.03.2006 13:53 86.016 OpenAL32.dll
01.03.2006 18:24 227.584 FNTCACHE.DAT
01.03.2006 17:40 405.504 px.dll
01.03.2006 17:40 56.832 pxcpya64.exe
01.03.2006 17:40 108.544 pxcpyi64.exe
01.03.2006 17:40 56.320 pxinsa64.exe
01.03.2006 17:40 109.568 pxinsi64.exe
01.03.2006 17:40 1.191.936 pxsfs.dll
01.03.2006 17:40 339.968 pxwave.dll
01.03.2006 17:40 172.032 pxmas.dll
01.03.2006 17:40 61.440 pxhpinst.exe
01.03.2006 17:40 434.176 pxdrv.dll
01.03.2006 17:40 28.672 vxblock.dll
25.02.2006 17:10 176.167 rmoc3260.dll
25.02.2006 17:10 5.632 pndx5032.dll
25.02.2006 17:10 6.656 pndx5016.dll
25.02.2006 17:10 278.528 pncrt.dll
22.02.2006 05:46 256.512 ati2dvag.dll
22.02.2006 05:41 114.688 atipdlxx.dll
22.02.2006 05:40 77.824 Oemdspif.dll
22.02.2006 05:40 26.112 Ati2mdxx.exe
22.02.2006 05:40 40.960 ati2edxx.dll
22.02.2006 05:40 61.440 ati2evxx.dll
22.02.2006 05:39 405.504 ati2evxx.exe
22.02.2006 05:38 53.248 ATIDDC.DLL
22.02.2006 05:30 2.636.672 ati3duag.dll
22.02.2006 05:27 6.684.672 atioglx1.dll
22.02.2006 05:24 860.480 ativvaxx.dll
22.02.2006 05:20 307.200 atiiiexx.dll
22.02.2006 05:11 5.124.096 atioglxx.dll
22.02.2006 05:11 151.552 atikvmag.dll
22.02.2006 05:10 17.408 atitvo32.dll
22.02.2006 05:04 258.048 ati2cqag.dll
22.02.2006 04:21 282.624 ATIDEMGR.dll
21.02.2006 22:05 520.192 ati2sgag.exe
21.02.2006 16:47 61.372 jupdate-1.5.0_06-b05.log
21.02.2006 00:10 15.787 productregistry
13.02.2006 22:29 121.995 atiicdxx.dat

 

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C3A-523C

Verzeichnis von C:\DOKUME~1\xxx\LOKALE~1\Temp

09.04.2006 17:37 323.667 JDW.exe
09.04.2006 17:33 16.384 Perflib_Perfdata_da4.dat
09.04.2006 17:33 16.384 Perflib_Perfdata_da8.dat
09.04.2006 17:31 16.384 Perflib_Perfdata_fd8.dat
4 Datei(en) 372.819 Bytes
0 Verzeichnis(se), 9.731.731.456 Bytes frei

 

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C3A-523C

Verzeichnis von C:\WINDOWS

09.04.2006 17:29 280.478 WindowsUpdate.log
09.04.2006 17:24 0 0.log
09.04.2006 17:23 159 wiadebug.log
09.04.2006 17:23 50 wiaservc.log
09.04.2006 17:22 2.048 bootstat.dat
09.04.2006 13:31 32.364 SchedLgU.Txt
07.04.2006 20:25 116 NeroDigital.ini
01.04.2006 20:14 623 win.ini
27.03.2006 17:10 30.489 scunin.dat
27.03.2006 17:10 967 ScUnin.pif
27.03.2006 17:10 69.632 ScUnin.exe
23.03.2006 18:52 658.381 setupapi.log
18.03.2006 16:13 169 RtlRack.ini
18.03.2006 13:54 25.773 comsetup.log
18.03.2006 13:54 130.822 iis6.log
18.03.2006 13:54 15.769 ntdtcsetup.log
18.03.2006 13:54 28.314 tsoc.log
18.03.2006 13:54 2.248 tabletoc.log
18.03.2006 13:54 5.372 imsins.log
18.03.2006 13:54 53.703 ocgen.log
18.03.2006 13:54 2.931 ocmsn.log
18.03.2006 13:54 2.744 msgsocm.log
18.03.2006 13:54 42.273 FaxSetup.log
18.03.2006 13:54 7.589 netfxocm.log
18.03.2006 13:54 32.828 msmqinst.log
15.03.2006 20:41 1.360 MKDEMSG.LOG
15.03.2006 20:36 3.072 MKDEWE.TRN
04.03.2006 15:30 227 system.ini
04.03.2006 13:41 10.356 KB893803v2.log
01.03.2006 18:17 32 wininit.ini
01.03.2006 17:44 31.926 wmsetup.log
01.03.2006 17:44 316.640 WMSysPr9.prx
01.03.2006 17:43 4.161 ODBCINST.INI
25.02.2006 17:14 25 cdplayer.ini
25.02.2006 17:12 3.079 mozver.dat
22.02.2006 20:13 400 nsw.log
20.02.2006 18:10 17.520 dasetup.log
18.02.2006 01:01 619 eReg.dat
08.02.2006 21:09 179.166 setupact.log
08.02.2006 17:55 0 nsreg.dat
08.02.2006 17:48 107.134 UninstallFirefox.exe
06.02.2006 16:05 155.847 DirectX.log
04.02.2006 17:47 28.982 hpoins03.dat

104 Datei(en) 7.251.400 Bytes
0 Verzeichnis(se), 9.731.477.504 Bytes frei

 

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C3A-523C

Verzeichnis von C:\

09.04.2006 18:16 0 sys.txt
09.04.2006 18:15 5.335 system.txt
09.04.2006 18:14 475 systemtemp.txt
09.04.2006 18:12 103.561 system32.txt
09.04.2006 17:55 820 RootkitReveal.txt
09.04.2006 17:22 805.306.368 pagefile.sys
04.03.2006 15:30 194 boot.ini
02.03.2006 22:04 0 AdobeDebug.txt

17 Datei(en) 805.704.613 Bytes
0 Verzeichnis(se), 9.730.785.280 Bytes frei

 

Hallo,

Im cmd Feld auf eine Taste drüchen dann kommt das nächste Log.
*erledigt*

Grüße Jasager

 

Ich hab alle vier gepostet, und jetzt?

 

Hallo,
besorge dir killbox und lösche folgende Dateien on reboot:

09.04.2006 15:44 8.192 interf.tlb
09.04.2006 15:30 10.332 mssearchnet.exe
09.04.2006 15:30 4.286 ot.ico
09.04.2006 15:30 176.128 stickrep.dll
09.04.2006 15:28 16.085 dfrgsrv.exe
09.04.2006 15:28 11.998 winyxc32.dll
(alle im System32 Ordner)
C:\DOKUME~1\xxx\LOKALE~1\Temp\JDW.exe
C:\WINDOWS\System32\cmd32.exe
C:\WINDOWS\System32\nvctrl.exe

dann fixt du (Haken davor und auf "fix checked") mit HijackThis folgende Einträge:
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O20 - Winlogon Notify: winyxc32 - C:\WINDOWS\SYSTEM32\winyxc32.dll


Was ist das für ein Programm?
C:\DOKUME~1\xxx\LOKALE~1\Temp\Rar$EX00.938\SpeedSim.exe
Im Zweifelsfall auch mit killbox löschen.


Dann scannst du dein System noch mit Ewido und postest den Report.
Außerdem machst du noch einen Onlinescan (mit IE) bei Kaspersky und postest ebenfalls den Report.



Grüße Jasager