http://k.the-fbi-got-my.info wie entfernen?

#0
12.12.2004, 16:38
...neu hier

Beiträge: 9
#16 Hallo Sabina,


Systembereinigung funktioniert bei mir nicht. Das lief bei diesem Rechner noch nie. Der Vorgang bleibt direkt am Anfang hängen bei:

"Es wird berechnet wieviel Speicherplatz freigegeben werden kann....
Scanvorgang: Alte Dateien komprimieren"

Dieser Vorgang dauert bei mir nicht einige Minuten sondern ist nach Stunden noch nicht weiter.

Dateimanager:
Anwendungen: wird ausgeführt
Prozesse: cleanmgr.exe 95 - 99% CPU-Auslastung
Systemleistung: CPU-Auslastung 100%



eScan:

C:\WINDOWS\System32\CSS.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Ich habe noch einmal erfolglos versucht mit HijackThis zu löschen. Mit der Killbox und "Delete on reboot" hat es dann aber funktioniert. eScan zeigt jetzt keine Fehlermeldungen mehr an.



Logfile of HijackThis v1.99.0
Scan saved at 16:27:30, on 12.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\T-Online\BSW4\ISDNSP~1\TOMCAT.EXE
C:\Programme\Telekom\Eumex 604PC HomeNet\Capictrl.exe
C:\Programme\Telekom\Eumex 604PC HomeNet\HNetCtrl.exe
C:\WINDOWS\DitExp.exe
C:\Dokumente und Einstellungen\Joachim\Eigene Dateien\Downloads\hijackthis199_beta\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\BSW4\ISDNSP~1\TOMCAT.EXE"
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (mb Software AG)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: RVS CommCenter - Unknown - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE



Viele Grüße
Joo
Seitenanfang Seitenende
12.12.2004, 16:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Hallo@fuzzy

Fixe:

O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

neustarten

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\Program Files\Windows AdControl\WinAdCtl.exe

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

Loesche:

C:\Programme\Web_Rebates\
C:\Program Files\Windows ControlAd\

dann Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen

und poste das Log noch mal.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.12.2004 um 17:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.12.2004, 17:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Hallo@Joo

den Internet-Cache komplett per Hand löschen:
Explorer - Rechtsklick auf C:\Windows\Temporary Internet Files\Content.IE5 - Suchen - Starten
Löschen Sie nun alle Dateien außer der Datei Index.dat

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

saeubere den PC mit:
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.12.2004, 18:12
Member

Themenstarter

Beiträge: 13
#19 Hallo Sabina,

bin etwas blöd, was heist fixen?
Gruß
fuzzy
Seitenanfang Seitenende
12.12.2004, 18:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Hallo@fuzzy

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

neustarten

und dann alles andere.....
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.12.2004 um 11:38 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.12.2004, 18:42
Member

Themenstarter

Beiträge: 13
#21 Hallo Sabina,

hatte ich mir gedacht, nur nicht getraut. Danke
mfg und einen schönen 3. Advent
fuuzy
Seitenanfang Seitenende
12.12.2004, 18:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Hallo@fuzzy

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen

poste dann das neue Log vom HijackThis, wenn alles fertig ist
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.12.2004 um 18:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.12.2004, 19:20
Member

Themenstarter

Beiträge: 13
#23 Hallo Sabina,
Datei C:\Program Files\Windows AdControl\WinAdCtl.exe nicht vorhanden. Alle anderen gelöscht. Temp-Dateien gelöscht.

escan mache ich morgen, habe keine Zeit mehr.
mfg
fuzzy
Seitenanfang Seitenende
12.12.2004, 19:30
Member

Themenstarter

Beiträge: 13
#24 Hallo Sabina,

C:\Program Files\Windows ControlAd\ lässt sich nicht löschen

fuzzy
Seitenanfang Seitenende
12.12.2004, 19:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 Hallo@fuzzy

gehe in den abgesicherten Modus und loesche es dort.
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und mach die restliche Reinigung ebenfalls im abgesicherten Modus

wenn das auch nicht geht, nutze den Schreduler von TuneUp.
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.12.2004 um 19:48 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.12.2004, 08:28
Member

Themenstarter

Beiträge: 13
#26 Hallo Sabina,
eScan hat folgenden Eintrag bzw. virus gefunden:
c:\windows\sysytem32\lssr.exe infected by "Backdoor Win32 PoeBot.a" Virus

Datei löschen?
Gruß
fuzzy (HeinZ)
Seitenanfang Seitenende
13.12.2004, 08:37
Member

Themenstarter

Beiträge: 13
#27 Hallo Sabina,

c:\windows\sysytem32\lssr.exe habe ich soeben gelöscht.

nue log-Datei:
Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 08:34:13, on 13.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
D:\PROGRA~1\SPAMKI~1\SSK.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\NielsenNetratings\bin\insight.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
D:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Heinz\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rokop-security.de/board/index.php?showtopic=3867
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8010
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SuperSpamKiller] D:\PROGRA~1\SPAMKI~1\SSK.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Programme\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Nielsen NetRatings.lnk = C:\Program Files\NielsenNetratings\bin\insight.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://privat.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2C8DF65-9018-43C8-8E9C-4C67C7EAB86D}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: X10 Device Network Service - X10 - C:\WINDOWS\System32\x10nets.exe
Seitenanfang Seitenende
13.12.2004, 11:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Hallo@fuzzy

Da war also noch ein Backdoor, schau an.....
Deaktiviere unbedingt die Wiederherstellung , starte den PC neu und dann aktiviere sie wieder.

«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Das Log ist sauber ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.12.2004 um 11:37 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.12.2004, 12:31
Member

Themenstarter

Beiträge: 13
#29 Hallo Sabina,

recht herzluichen Dank für Deine Unterstützung.

mfg fuzzy
Seitenanfang Seitenende
14.12.2004, 11:47
...neu hier

Beiträge: 9
#30 Hallo Sabina,

ich habe gestern T-DSL und anschließend WIN XP SP2 installiert und heute sind die ungebetenen Besucher schon wieder da. ;)

Wird die Firewall von SP2 in Zukunft davor schützen oder brauche ich etwas anderes? Auf Mozilla werde ich wohl noch umsteigen.




Bei eScan im Fenster "Virus log information" angezeigt, aber nicht im mwav.log:

C:\WINDOWS\system32\wuampd.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.




in mwav.log gefunden:

C:\WINDOWS\system32\aaupdt.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\aaupdt.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\System32\CSS.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\Joachim\LOKALE~1\Temp\installer.exe infected by "not-a-virus:AdWare.PurityScan.u" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Joachim\Lokale Einstellungen\Temp\installer.exe infected by "not-a-virus:AdWare.PurityScan.u" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Downloaded Program Files\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\aaupdt.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\CSS.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.




Logfile of HijackThis v1.99.0
Scan saved at 11:09:53, on 14.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\T-Online\BSW4\ISDNSP~1\TOMCAT.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\T-ONLINE\BSW4\ToADiMon.exe
C:\WINDOWS\system32\wuampd.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Telekom\Eumex 604PC HomeNet\Capictrl.exe
C:\Programme\Telekom\Eumex 604PC HomeNet\HNetCtrl.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Teledat\IWatch.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\ntvdm.exe
C:\DOKUME~1\Joachim\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Joachim\LOKALE~1\Temp\kavss.exe
C:\Programme\Microsoft Office 2000\Office\EXCEL.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Joachim\Eigene Dateien\Downloads\hijackthis199_beta\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\BSW4\ISDNSP~1\TOMCAT.EXE"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRA~1\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\Programme\microsoft project\Office\FASTBOOT.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102973589773
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (mb Software AG)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: RVS CommCenter - Unknown - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Viele Grüße Joo
Seitenanfang Seitenende