topantispyware.com läßt sich nicht entfernen |
||
---|---|---|
#0
| ||
08.04.2005, 23:45
Ehrenmitglied
Beiträge: 29434 |
||
|
||
09.04.2005, 14:51
...neu hier
Beiträge: 3 |
#77
Hallo Sabina
Ich habe deine Anleitung durchgearbeitet und hier ist das Ergebnis der Online-Scans. Lediglich Panda-Scan hat noch etwas gefunden: Incident Status Location Virus:W32/Sober.I.worm Renamed Persönliche Ordner\Gelöschte Objekte\Re: Mailer Error -SMTP: 8268\Auto_Mail.com Virus:W32/Sober.I.worm Renamed Persönliche Ordner\Gelöschte Objekte\Mailer-Fehler\Auto_Mail2127.com Adware:Adware/BHO No disinfected C:\Temp\hiijackthis\backups\backup-20050402-075626-178.dll Adware:Adware/BHO No disinfected C:\Temp\hiijackthis\backups\backup-20050402-075626-868.dll Virus:W32/Sober.I.worm Renamed Persönliche Ordner\Gelöschte Objekte\Re: Mailer Error -SMTP: 8268\Auto_Mail.com Virus:W32/Sober.I.worm Renamed Persönliche Ordner\Gelöschte Objekte\Mailer-Fehler\Auto_Mail2127.com Das Hoster-Tool hat ja ganz schön aufgeräumt, auch die Einträge, welche für die Rechner in der Firma eingetragen waren. Wie könnte ich diese wieder eintragen, falls sie benötigt werden? Danke bestens für die Unterstützung! Ist toll! Grüsse tomywe |
|
|
||
10.04.2005, 17:25
Ehrenmitglied
Beiträge: 29434 |
#78
Hallo@tomywe
http://www.netzadmin.org/theorie/hosts-datei.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.04.2005, 20:15
...neu hier
Beiträge: 10 |
#79
Hallo Sabina,
erstmal vielen Dank für die tolle Hilfe, das DESKTOP hat wieder seine richtige Farbe, habe alles nach Anweisung gemacht, kam mir dabei aber vor wie ein Fahrprüfling bei der praktischen Prüfung nach der ersten Stunde Theorie - anbei jetzt noch die Ergebnisse von eScan wobei das rauskopieren nicht so geklappt hat: [msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:51:856 :ModuleName = C:\DOKUME~1\Daniel\LOKALE~1\Temp\mwavscan.com [msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:51:856 :Registry Key Deleted Properly!!! [msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:54:500 :Options Set by External applications mwavscan.com are 9896960 (0x970400): [msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:54:500 :Mode ACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:54:500 :TimeOut : ffffffff [msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:54:500 riority : NORMAL [msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:55:582 :VirusCount = 125034 Latest Date = 2005/04/07 [msvLclnt.dll] [0x00000094] 10/04/2005 19:20:02:675 :[00000001] File C:\WINDOWS\sasent.dll infected by Trojan.Win32.Dialer.bi [msvLclnt.dll] [0x00000094] 10/04/2005 19:20:02:795 :[00000001] File C:\WINDOWS\sasetup.dll infected by Trojan.Win32.Dialer.bi [msvLclnt.dll] [0x00000094] 10/04/2005 19:21:37:521 :[00000001] File C:\WINDOWS\System32\srpcsrv32.dll infected by Trojan.Win32.TopAntiSpyware.i [msvLclnt.dll] [0x00000094] 10/04/2005 19:21:43:369 :[00000001] File C:\WINDOWS\System32\txfdb32.dll infected by Trojan.Win32.TopAntiSpyware.i [msvLclnt.dll] [0x00000094] 10/04/2005 19:22:27:443 :VirusCount = 125034 Latest Date = 2005/04/07 : hier noch das log von hijackthis Logfile of HijackThis v1.99.1 Scan saved at 19:31:52, on 10.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Eset\nod32kui.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\a2\a2guard.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\WINDOWS\System32\alg.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX00.731\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Daniel\LOKALE~1\Temp\delus.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe" O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1C392029-263B-4FA7-B9AE-307A165C6554}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{1C392029-263B-4FA7-B9AE-307A165C6554}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\HRInstmon.dll O23 - Service: AVSync Manager (AvSynMgr) - AVM GmbH - (no file) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: McShield - Unknown owner - (no file) O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ich hoffe ich bin wieder clean gruß Daniel |
|
|
||
10.04.2005, 22:11
Ehrenmitglied
Beiträge: 29434 |
#80
Hallo@maphidal
Fixe mit dem HijackThis: O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Daniel\LOKALE~1\Temp\delus.exe O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O23 - Service: McShield - Unknown owner - (no file) PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\delus.exe C:\WINDOWS\sasent.dll C:\WINDOWS\sasetup.dll C:\WINDOWS\System32\srpcsrv32.dll C:\WINDOWS\System32\txfdb32.dll PC neustarten --------------------------------------------------------------------------------------------------------------------------------------- C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\delus.exe<--loeschen Download the beta* of our new anti-spyware software today http://www.microsoft.com/athome/security/spyware/software/default.mspx •RAV ANTIVIRUS SCAN ONLINE http://www.ravantivirus.com/scan/index.php (berichte vom Scan) ------------- Wie kann ich das Service Pack 2 installieren? Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren. [A] Installation über Windows Update (Internet) www.windowsupdate.com 1. Wählen Sie im Start-Menü den Befehl Windows Update. Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt). 2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren. Installation von CD 1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein. 2. Klicken Sie nach dem Autostart auf Weiter. 3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen. 4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken. 5. Folgen Sie den weiteren Anweisungen. Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist. Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2005, 22:00
...neu hier
Beiträge: 3 |
#81
Hallo Sabina
Ich habe seit 2 Wochen den Virus auch bei mir auf dem PC. Ích bin auf die angegebene Seite gegangen und habe von dort das "Clear"-Programm geladen und ausgeführt. Seitdem funktioniert mein Computer wieder "normal", nur das er ca. 5 Minuten braucht um hoch zu fahren. Ich habe mir den NOD32 Scanner runtergeladen, der konnte jedoch nichts finden. Danach habe ich mir den HijackThis runtergeladen. Hier ist der LogFile: Kannst du da was finden? Wäre wirklich sehr nett wenn du mir helfen könntest und schon einmal danke im Voraus. Logfile of HijackThis v1.99.1 Scan saved at 21:39:03, on 11.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\SOINTGR.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Eset\nod32kui.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ESET\nod32.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\David\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://x-search.cc/search.php?v=6&aff=380898 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://x-search.cc/index.php?v=6&aff=380898 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.toysrus.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net* O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.toysrus.de/ O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/275d6d4e5f383513da18/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE648_100.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe Mfg Dajo |
|
|
||
12.04.2005, 00:41
Ehrenmitglied
Beiträge: 29434 |
#82
Hallo@Dajo
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://x-search.cc/search.php?v=6&aff=380898 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://x-search.cc/index.php?v=6&aff=380898 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net* O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE648_100.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\runsrv32.exe C:\WINDOWS\System32\runsrv32.dll C:\WINDOWS\System32\txfdb32.dll C:\WINDOWS\System32\srpcsrv32.dll C:\WINDOWS\System32\runsvc32.exe C:\WINDOWS\System\runsrv32.dll C:\WINDOWS\System32\runoledb32.exe C:\Program Files\TopAntiSpyware C:\WINDOWS\desktop.html C:\WINDOWS\Web\desktop.html C:\r.exe C:\WINDOWS\System32\spoolsrv32.exe PC neustarten suche und loesche:Speedy.bat Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert. falls du es findest:loeschen: •C:\Program Files\TopAntiSpyware •C:\WINDOWS\desktop.html •C:\WINDOWS\Web\desktop.html so kann man C:\WINDOWS\Web\desktop.html loeschen Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste •C:\WINDOWS\Web\desktop.html •C:\WINDOWS\SSICO.ICO •C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url •C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url •C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url •C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm (berichte vom Scann) •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.04.2005, 23:15
...neu hier
Beiträge: 10 |
#83
Hallo Sabina,
folgende Einträge konnte ich nicht finden: O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Daniel\LOKALE~1\Temp\delus.exe und O23 - Service: McShield - Unknown owner - (no file) sowie C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\delus.exe<--loeschen konnte ich nicht finden und somit auch nicht löschen, MS beta sowie SP 2 habe ich runtergeladen, bei RAV ANTIVIRUS SCAN ONLINE versteh ich nicht - da ich jeden File wohl extra scannen soll!? anbei nochmals log von HijackThis - OK? hoffe das jetzt alles i.O. Logfile of HijackThis v1.99.1 Scan saved at 23:06:50, on 12.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Eset\nod32kui.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX07.679\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Programme\Microsoft AntiSpyware\gcASCleaner.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1C392029-263B-4FA7-B9AE-307A165C6554}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{1C392029-263B-4FA7-B9AE-307A165C6554}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{1C392029-263B-4FA7-B9AE-307A165C6554}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\HRInstmon.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AVSync Manager (AvSynMgr) - AVM GmbH - (no file) O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Vielen Dank nochmals für die tolle Hilfe Gruß Daniel |
|
|
||
12.04.2005, 23:38
Ehrenmitglied
Beiträge: 29434 |
#84
Hallo@maphidal
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren such noch mal--> C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\delus.exe<--loeschen Start--> Ausfuehren--> cmd- reinkopieren: cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit poste alles, was im Editor erscheint •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml berichte von den Onlinescanns __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.04.2005, 22:03
...neu hier
Beiträge: 10 |
#85
Hallo Sabina,
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\delus.exe konnte ich immer noch nicht finden!? außer DELUS in C:\Programme \ AV Personal und DELUS.EXE-21251B92pf in C.\ WINDOWS\Prefetch ist es das, ließ sich komischerweise weder ausschneiden noch kopieren!! Im Anhang alles was im Editor ist, ziemlich viel virus, troj und malw drin - schlimm? Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 10C4-DFFB Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp 13.04.2005 16:02 32.768 ~DFD809.tmp 13.04.2005 16:02 32.768 ~DF93E4.tmp 13.04.2005 16:01 32.768 ~DF9C56.tmp 13.04.2005 16:01 32.768 ~DF7EA1.tmp 13.04.2005 12:22 16.384 ~DF8EFA.tmp 13.04.2005 12:22 512 ~DF7549.tmp 13.04.2005 12:22 16.384 ~DF7538.tmp 13.04.2005 12:16 32.768 ~DFA418.tmp 13.04.2005 12:16 32.768 ~DF8D80.tmp 13.04.2005 08:39 32.768 ~DF9305.tmp 13.04.2005 08:39 32.768 ~DF5372.tmp 12.04.2005 22:22 32.768 ~DF849.tmp 12.04.2005 22:22 32.768 ~DFF5C8.tmp 12.04.2005 22:11 32.768 ~DF5FED.tmp 12.04.2005 22:10 32.768 ~DFEFC9.tmp 12.04.2005 21:41 905 kb.log 12.04.2005 21:38 16.384 ~DF3E78.tmp 12.04.2005 21:33 4.096.000 Acr311.tmp 12.04.2005 20:42 0 Acr30F.tmp 12.04.2005 20:42 179 Acr303.tmp 12.04.2005 20:42 426 Acr305.tmp 12.04.2005 18:30 16.384 ~DFE714.tmp 12.04.2005 18:30 512 ~DFCB34.tmp 12.04.2005 18:30 16.384 ~DFCB0A.tmp 11.04.2005 19:36 16.384 ~DF36F.tmp 11.04.2005 19:36 16.384 ~DFEE11.tmp 10.04.2005 19:31 361.985 MWAV.LOG 10.04.2005 19:31 1.413 mwXface.log 10.04.2005 18:59 0 license.lck 10.04.2005 18:14 16.384 ~DF6AC5.tmp 10.04.2005 17:04 16.384 ~DF65C7.tmp 10.04.2005 17:04 42.819 KillBox.zip 10.04.2005 15:25 337.688 az21.tmp 10.04.2005 15:25 12.242 az20.tmp 10.04.2005 15:21 337.688 az16.tmp 10.04.2005 15:21 12.242 az15.tmp 10.04.2005 15:09 337.688 azE.tmp 10.04.2005 15:09 12.242 azD.tmp 10.04.2005 15:07 337.688 az7.tmp 10.04.2005 15:07 12.242 az6.tmp 10.04.2005 15:04 337.688 az5.tmp 10.04.2005 15:04 12.242 az4.tmp 09.04.2005 15:26 16.384 ~DF7A29.tmp 09.04.2005 15:25 512 ~DF46C5.tmp 09.04.2005 15:25 16.384 ~DF45FA.tmp 09.04.2005 12:50 16.384 ~DF7243.tmp 09.04.2005 12:50 16.384 ~DF530A.tmp 09.04.2005 08:29 16.384 ~DFD622.tmp 09.04.2005 08:29 16.384 ~DFC505.tmp 08.04.2005 09:44 10.012 avp.klb 08.04.2005 09:44 40.012 daily.avc 08.04.2005 09:44 55.548 unp006.avc 07.04.2005 22:18 176.704 mwavscan.com 07.04.2005 21:59 48.396 unp020.avc 07.04.2005 21:59 41.612 unp021.avc 07.04.2005 21:49 26.744 krnengn.avc 07.04.2005 21:49 79.137 virus017.avc 07.04.2005 21:49 51.769 troj011.avc 07.04.2005 21:49 48.855 ext003.avc 07.04.2005 21:49 61.576 krnunp.avc 07.04.2005 21:49 47.611 krnexe32.avc 07.04.2005 21:49 69.460 unp004.avc 07.04.2005 21:49 74.260 virus014.avc 07.04.2005 21:49 77.380 virus012.avc 07.04.2005 21:49 80.738 virus016.avc 07.04.2005 21:49 19.935 troj025.avc 07.04.2005 16:58 16.384 ~DF9979.tmp 07.04.2005 16:58 16.384 ~DF7C4A.tmp 07.04.2005 03:42 1.602 ViewTcp.lan 07.04.2005 03:40 348.160 viewtcp.exe 06.04.2005 14:27 118.784 esupdate.exe 06.04.2005 12:32 88.029 krnmacro.avc 06.04.2005 12:32 52.205 worm003.avc 06.04.2005 12:32 50.244 troj021.avc 04.04.2005 12:48 174.592 license.exe 02.04.2005 12:44 16.384 ~DFAEE4.tmp 02.04.2005 10:02 8.386 kernel.avc 01.04.2005 18:17 46.306 unp022.avc 01.04.2005 18:17 56.388 troj024.avc 01.04.2005 18:17 55.697 troj023.avc 01.04.2005 18:17 49.996 troj019.avc 01.04.2005 18:17 76.673 virus015.avc 01.04.2005 18:17 3.369 ext004.avc 01.04.2005 18:17 10.671 fa.avc 01.04.2005 18:17 42.349 worm005.avc 01.04.2005 18:17 1.381 avp.set 01.04.2005 18:17 5.531 malw004.avc 01.04.2005 18:17 13.389 virus020.avc 01.04.2005 13:42 38.493 unp012.avc 01.04.2005 13:42 56.806 troj022.avc 30.03.2005 10:00 7.524 config.lan 26.03.2005 18:17 56.790 unp001.avc 26.03.2005 18:17 26.591 gen999.avc 26.03.2005 18:17 39.820 gen003.avc 26.03.2005 18:17 38.460 gen001.avc 26.03.2005 18:17 27.398 x-files.avc 26.03.2005 18:17 50.865 troj014.avc 24.03.2005 15:52 106.496 msvlclnt.dll 24.03.2005 15:51 53.248 KAVUpd.exe 24.03.2005 15:50 35.392 Getvlist.exe 24.03.2005 10:11 50.437 ext002.avc 24.03.2005 10:11 48.413 malw003.avc 22.03.2005 17:17 49.467 ext001.avc 21.03.2005 22:23 49.516 troj012.avc 19.03.2005 11:56 59.987 malw001.avc 19.03.2005 11:56 18.619 gen004.avc 19.03.2005 11:56 54.853 malw002.avc 19.03.2005 11:56 47.493 gen002.avc 19.03.2005 11:56 74.908 unp016.avc 19.03.2005 11:56 61.036 ca.avc 17.03.2005 10:10 75.187 virus008.avc 17.03.2005 10:10 83.771 unp019.avc 17.03.2005 10:10 74.227 virus010.avc 16.03.2005 10:42 51.394 troj006.avc 16.03.2005 10:42 11.816 ocr.avc 16.03.2005 10:42 50.735 troj016.avc 16.03.2005 10:42 50.108 troj013.avc 16.03.2005 10:42 76.795 virus018.avc 12.03.2005 00:20 1.871 eicar.avc 12.03.2005 00:20 17.719 ext999.avc 12.03.2005 00:20 50.073 troj001.avc 10.03.2005 22:22 58.860 unp014.avc 10.03.2005 22:22 64.590 unp015.avc 10.03.2005 22:22 93.464 unp013.avc 10.03.2005 22:22 37.667 unp017.avc 10.03.2005 22:22 58.283 unp018.avc 10.03.2005 22:22 56.119 unp011.avc 10.03.2005 22:22 70.968 unp010.avc 10.03.2005 22:22 51.942 unp009.avc 10.03.2005 22:22 57.219 unp008.avc 10.03.2005 22:22 81.687 unp007.avc 10.03.2005 22:22 63.362 unp005.avc 10.03.2005 22:22 55.572 unp003.avc 10.03.2005 22:22 76.584 virus001.avc 10.03.2005 22:22 76.504 virus002.avc 10.03.2005 22:22 73.721 virus003.avc 10.03.2005 22:22 78.954 virus004.avc 10.03.2005 22:22 73.431 virus005.avc 10.03.2005 22:22 76.112 virus006.avc 10.03.2005 22:22 74.126 virus007.avc 10.03.2005 22:22 72.265 unp002.avc 10.03.2005 22:22 71.437 virus009.avc 10.03.2005 22:22 50.249 troj020.avc 10.03.2005 22:22 78.459 virus011.avc 10.03.2005 22:22 50.512 troj018.avc 10.03.2005 22:22 78.232 virus013.avc 10.03.2005 22:22 50.193 troj017.avc 10.03.2005 22:22 50.040 troj015.avc 10.03.2005 22:22 50.694 troj010.avc 10.03.2005 22:22 50.908 troj009.avc 10.03.2005 22:22 50.681 troj007.avc 10.03.2005 22:22 63.152 virus019.avc 10.03.2005 22:22 51.483 troj005.avc 10.03.2005 22:22 52.446 troj004.avc 10.03.2005 22:22 50.249 worm001.avc 10.03.2005 22:22 52.478 worm002.avc 10.03.2005 22:22 57.800 troj003.avc 10.03.2005 22:22 53.750 worm004.avc 10.03.2005 22:22 51.820 troj002.avc 10.03.2005 22:22 5.333 worm999.avc 10.03.2005 22:22 5.110 smart.avc 10.03.2005 22:22 14.113 mail.avc 10.03.2005 22:22 37.618 krnjava.avc 10.03.2005 22:22 32.151 krnexe.avc 10.03.2005 22:22 5.274 krndos.avc 10.03.2005 22:22 6.582 avp.vnd 10.03.2005 22:22 50.495 troj008.avc 10.03.2005 20:45 26.263 krnengn.old 19.02.2005 16:55 37.321 language.ini 09.02.2005 12:39 1.025 0006C9D5.key 07.02.2005 22:27 8.409 kernel.old 28.12.2004 19:02 1.714 sysr.txt 11.11.2004 13:36 143.416 kavss.dll 05.11.2004 16:38 159.865 kavssd.dll 05.11.2004 16:20 36.921 kavssi.dll 19.08.2004 02:09 2.511 mwav.ini 18.08.2004 12:05 102.481 kavvlg.dll 17.08.2004 18:26 53.306 kavssdi.dll 17.08.2004 17:24 20.536 kavss.exe 17.08.2004 17:24 20.536 kavss.dat 18.07.2004 03:58 788 MicroWorld Toolkit Utility.txt 15.01.2004 18:46 15.680 product.bmp 24.12.2003 14:19 58.536 about.bmp 24.12.2003 14:19 58.536 bitmap1.bmp 07.10.2003 16:58 98.304 kavsign.exe 03.09.2003 13:23 294.912 KAVUpd.dll 30.05.2003 17:04 9.216 virus.avi 13.03.2003 16:16 313 mwti.sgn 13.03.2003 16:16 304 keyid.dat 01.03.2003 14:20 7.946 main.avi 14.02.2003 16:12 4 WIN.PRO 11.07.2002 14:34 36.928 ipc.dll 11.04.2001 18:28 54.784 SET1097.tmp 14.10.1996 07:08 173.328 riched32.dll 194 Datei(en) 14.699.422 Bytes 0 Verzeichnis(se), 847.994.880 Bytes frei online scann hole ich noch nach-danke erstmal wieder für heute für deine tolle Unterstützung Gruß Daniel |
|
|
||
14.04.2005, 20:24
...neu hier
Beiträge: 3 |
#86
Hallo Sabina
Vielen Dank für deine Hilfe. Deine Tips haben wirklich gut geholfen, nur •C:\Program Files\TopAntiSpyware •C:\WINDOWS\desktop.html •C:\WINDOWS\Web\desktop.html Speedy.bat konnte ich nicht finden, aber mein PC startet wieder ganz normal. E-Scan hat folgende Dateien gefunden: Wed Apr 13 22:33:00 2005 => System found infected with Alexa Spyware/Adware Wed Apr 13 22:33:00 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Wed Apr 13 22:33:12 2005 => File C:\WINDOWS\System32\bmk13.exe infected by "Trojan-Clicker.Win32.Small.em" Virus. Action Taken: No Action Taken. Wed Apr 13 22:33:29 2005 => File C:\WINDOWS\System32\fbarinstall.exe infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken. Wed Apr 13 22:33:29 2005 => File C:\WINDOWS\System32\fbaruninst.exe infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken. Wed Apr 13 22:33:30 2005 => File C:\WINDOWS\System32\fsearchbar.dll infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken. Wed Apr 13 22:34:17 2005 => File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan.Win32.TopAntiSpyware.i" Virus. Action Taken: No Action Taken. Wed Apr 13 22:34:18 2005 => File C:\WINDOWS\System32\supd130105.exe infected by "Trojan-Downloader.Win32.Esepor.m" Virus. Action Taken: No Action Taken. Wed Apr 13 22:34:18 2005 => File C:\WINDOWS\System32\supd160105.exe infected by "Trojan-Downloader.Win32.Esepor.m" Virus. Action Taken: No Action Taken. Wed Apr 13 22:34:22 2005 => File C:\WINDOWS\System32\ucs44.exe infected by "Backdoor.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Wed Apr 13 22:34:34 2005 => File C:\WINDOWS\System32\xplugin.dll infected by "Trojan-Downloader.Win32.Esepor.ac" Virus. Action Taken: No Action Taken. C:\DOKUME~1\David\LOKALE~1\TEMPOR~1\Content.IE5\WLUJ85IN\infected6xz[1].gif [**] Wed Apr 13 22:34:55 2005 => Scanning File Einstellungen\Temporary Internet Files\Content.IE5\WLUJ85IN\infected6xz[1].gif [**] Wed Apr 13 22:36:51 2005 => Scanning File C:\Dokumente und Einstellungen\David\Lokale Wed Apr 13 22:40:30 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Wed Apr 13 22:47:06 2005 => File C:\Programme\STHomePage\STHomePage2.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken. Wed Apr 13 22:47:06 2005 => File C:\Programme\STHomePage\uninst.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken. Wed Apr 13 22:47:06 2005 => File C:\Programme\STLinks\uninst.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP172\A0041669.exe infected by "Backdoor.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP173\A0041700.exe infected by "Backdoor.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP174\A0041731.exe infected by "Backdoor.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP179\A0041938.dll infected by "Trojan-Downloader.Win32.Esepor.ac" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP184\A0043115.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP184\A0043116.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP184\A0043120.dll infected by "not-a-virus:AdWare.ToolBar.STIEBar.b" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP185\A0043270.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP185\A0043271.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP188\A0043393.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP194\A0043772.exe infected by "not-a-virus:AdWare.ToolBar.STIEBar.b" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP194\A0043783.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP194\A0043784.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP223\A0051855.dll infected by "not-a-virus:AdWare.ToolBar.STIEBar.b" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP223\A0051868.dll infected by "Trojan.Win32.TopAntiSpyware.i" Virus. Action Taken: No Action Taken. Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP234\A0053237.exe infected by "Trojan.Win32.TopAntiSpyware.i" Virus. Action Taken: No Action Taken. Wed Apr 13 22:51:26 2005 => File C:\WINDOWS\system32\bmk13.exe infected by "Trojan-Clicker.Win32.Small.em" Virus. Action Taken: No Action Taken. Wed Apr 13 22:53:44 2005 => File C:\WINDOWS\system32\fbarinstall.exe infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken. Wed Apr 13 22:53:44 2005 => File C:\WINDOWS\system32\fbaruninst.exe infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken. Wed Apr 13 22:53:45 2005 => File C:\WINDOWS\system32\fsearchbar.dll infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken. Wed Apr 13 22:54:43 2005 => File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan.Win32.TopAntiSpyware.i" Virus. Action Taken: No Action Taken. Wed Apr 13 22:54:44 2005 => File C:\WINDOWS\system32\supd130105.exe infected by "Trojan-Downloader.Win32.Esepor.m" Virus. Action Taken: No Action Taken. Wed Apr 13 22:54:44 2005 => File C:\WINDOWS\system32\supd160105.exe infected by "Trojan-Downloader.Win32.Esepor.m" Virus. Action Taken: No Action Taken. Wed Apr 13 22:54:48 2005 => File C:\WINDOWS\system32\ucs44.exe infected by "Backdoor.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Wed Apr 13 22:55:07 2005 => File C:\WINDOWS\system32\xplugin.dll infected by "Trojan-Downloader.Win32.Esepor.ac" Virus. Action Taken: No Action Taken. Und beim Online Scan (Panda) kam folgendes heraus: Incident Status Location Adware:Adware/XPlugin No disinfected C:\WINDOWS\System32\xplugin.dll Adware:Adware/STIEBar No disinfected C:\Programme\STHomePage Adware:Adware/CWS.Searchmeup No disinfected C:\WINDOWS\System32\srpcsrv32.dll Adware:Adware/BHO No disinfected C:\Programme\STHomePage\STHomePage2.dll Virus:Trj/StartPage.QB Disinfected C:\WINDOWS\system32\bmk13.exe Spyware:Spyware/FSBar No disinfected C:\WINDOWS\system32\fbarinstall.exe Spyware:Spyware/FSBar No disinfected C:\WINDOWS\system32\fbaruninst.exe Adware:Adware/CWS.Searchmeup No disinfected C:\WINDOWS\system32\srpcsrv32.dll Adware:Adware/XPlugin No disinfected C:\WINDOWS\system32\supd130105.exe Adware:Adware/XPlugin No disinfected C:\WINDOWS\system32\supd160105.exe Virus:Backdoor Program Disinfected C:\WINDOWS\system32\ucs44.exe Ich hoffe du kannst mir nochmal helfen und nochmal vielen Dank Mfg Dajo |
|
|
||
15.04.2005, 00:30
Ehrenmitglied
Beiträge: 29434 |
#87
Hallo@Dajo
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\fbarinstall.exe C:\WINDOWS\system32\fbaruninst.exe C:\WINDOWS\system32\fsearchbar.dll C:\WINDOWS\System32\xplugin.dll C:\WINDOWS\System32\srpcsrv32.dll C:\WINDOWS\system32\bmk13.exe C:\WINDOWS\system32\fbarinstall.exe C:\WINDOWS\system32\fbaruninst.exe C:\WINDOWS\system32\srpcsrv32.dll C:\WINDOWS\system32\supd130105.exe C:\WINDOWS\system32\supd160105.exe C:\WINDOWS\system32\supd130105.exe C:\WINDOWS\system32\ucs44.exe C:\WINDOWS\system32\ucs44.exe C:\WINDOWS\system32\bmk13.exe C:\WINDOWS\System32\ucs44.exe C:\Programme\STHomePage C:\Programme\STLinks\uninst.exe C:\Programme\STHomePage\uninst.exe C:\Programme\STHomePage\STHomePage2.dll neustarten scanne noch mal mit escan, loesche alles , was infected ist und aktiviere wieder die Wiederherstellung. dann poste das neue Log vom HijacktHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2005, 00:32
Ehrenmitglied
Beiträge: 29434 |
#88
Hallo@maphidal
#Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2005, 12:20
...neu hier
Beiträge: 5 |
#89
hallo sabina
habe letztendlich mein system neuaufgesetzt.. trotzdem auf diesem wege nochmal ein fettes Dankeschön für deine Mühe gruss maddin |
|
|
||
17.04.2005, 18:55
...neu hier
Beiträge: 10 |
#90
hallo sabina,
hier das Ergebnis von Ad-aware, das gleiche habe ich auch mit NOD 32 und AntiVir gemacht Ad-Aware SE Build 1.05 Logfile Created on:Sonntag, 17. April 2005 16:45:53 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R39 15.04.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):43 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 17.04.2005 16:45:53 - Scan started. (Smart mode) Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 672 ThreadCreationTime : 17.04.2005 14:42:02 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 720 ThreadCreationTime : 17.04.2005 14:42:04 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 744 ThreadCreationTime : 17.04.2005 14:42:05 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 788 ThreadCreationTime : 17.04.2005 14:42:05 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 800 ThreadCreationTime : 17.04.2005 14:42:05 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 960 ThreadCreationTime : 17.04.2005 14:42:06 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1004 ThreadCreationTime : 17.04.2005 14:42:06 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1164 ThreadCreationTime : 17.04.2005 14:42:07 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1224 ThreadCreationTime : 17.04.2005 14:42:07 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1300 ThreadCreationTime : 17.04.2005 14:42:07 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:11 [lexbces.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1620 ThreadCreationTime : 17.04.2005 14:42:10 BasePriority : Normal FileVersion : 7.1 ProductVersion : 7.1 ProductName : MarkVision for Windows (32 bit) CompanyName : Lexmark International, Inc. FileDescription : LexBce Service InternalName : LexBce Service LegalCopyright : (C) 1993 - 2001 Lexmark International, Inc. OriginalFilename : LexBceS.exe #:12 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1724 ThreadCreationTime : 17.04.2005 14:42:10 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:13 [lexpps.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1732 ThreadCreationTime : 17.04.2005 14:42:10 BasePriority : Normal FileVersion : 7.1 ProductVersion : 7.1 ProductName : MarkVision for Windows (32 bit) CompanyName : Lexmark International, Inc. FileDescription : LEXPPS.EXE InternalName : LEXPPS LegalCopyright : (C) 1993 - 2001 Lexmark International, Inc. OriginalFilename : LEXPPS.EXE Comments : MarkVision for Windows '95 New P2P Server (32-bit) #:14 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1768 ThreadCreationTime : 17.04.2005 14:42:10 BasePriority : Normal FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 6.00.2900.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:15 [speedmgr.exe] FilePath : C:\PROGRA~1\T-DSLS~1\ ProcessID : 2032 ThreadCreationTime : 17.04.2005 14:42:12 BasePriority : Normal #:16 [zlclient.exe] FilePath : C:\Programme\Zone Labs\ZoneAlarm\ ProcessID : 2040 ThreadCreationTime : 17.04.2005 14:42:12 BasePriority : Normal FileVersion : 5.1.039.004 ProductVersion : 5.1.039.004 ProductName : Zone Labs Client CompanyName : Zone Labs Inc. FileDescription : Zone Labs Client InternalName : zlclient LegalCopyright : Copyright © 1998-2004, Zone Labs Inc. OriginalFilename : zlclient.exe #:17 [realsched.exe] FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\ ProcessID : 172 ThreadCreationTime : 17.04.2005 14:42:13 BasePriority : Normal FileVersion : 0.1.0.3018 ProductVersion : 0.1.0.3018 ProductName : RealPlayer (32-bit) CompanyName : RealNetworks, Inc. FileDescription : RealNetworks Scheduler InternalName : schedapp LegalCopyright : Copyright © RealNetworks, Inc. 1995-2004 LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc. OriginalFilename : realsched.exe #:18 [nod32kui.exe] FilePath : C:\Programme\Eset\ ProcessID : 192 ThreadCreationTime : 17.04.2005 14:42:13 BasePriority : Normal #:19 [gcasserv.exe] FilePath : C:\Programme\Microsoft AntiSpyware\ ProcessID : 200 ThreadCreationTime : 17.04.2005 14:42:13 BasePriority : Idle FileVersion : 1.00.0509 ProductVersion : 1.00.0509 ProductName : Microsoft AntiSpyware (Beta 1) CompanyName : Microsoft Corporation FileDescription : Microsoft AntiSpyware Service InternalName : gcasServ LegalCopyright : Copyright © 2004-2005 Microsoft Corporation. All rights reserved. LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation. SpyNet(tm) is a trademark of Microsoft Corporation. OriginalFilename : gcasServ.exe #:20 [avgnt.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 164 ThreadCreationTime : 17.04.2005 14:42:13 BasePriority : Normal #:21 [ctfmon.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 208 ThreadCreationTime : 17.04.2005 14:42:13 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : CTF Loader InternalName : CTFMON LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : CTFMON.EXE #:22 [fritzdsl.exe] FilePath : C:\Programme\FRITZ!DSL\ ProcessID : 232 ThreadCreationTime : 17.04.2005 14:42:13 BasePriority : Normal FileVersion : 3.04 / 1.06 ProductVersion : FRITZ!web DSL ProductName : FRITZ! CompanyName : AVM Berlin FileDescription : FRITZ!web DSL InternalName : FRITZ!web DSL LegalCopyright : Copyright © AVM Berlin OriginalFilename : FritzDsl.exe #:23 [fwebprot.exe] FilePath : C:\Programme\FRITZ!DSL\ ProcessID : 244 ThreadCreationTime : 17.04.2005 14:42:13 BasePriority : Normal #:24 [rundll32.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 264 ThreadCreationTime : 17.04.2005 14:42:14 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Eine DLL-Datei als Anwendung ausführen InternalName : rundll LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : RUNDLL.EXE #:25 [gcasdtserv.exe] FilePath : C:\Programme\Microsoft AntiSpyware\ ProcessID : 568 ThreadCreationTime : 17.04.2005 14:42:15 BasePriority : Normal FileVersion : 1.00.0509 ProductVersion : 1.00.0509 ProductName : Microsoft AntiSpyware (Beta 1) CompanyName : Microsoft Corporation FileDescription : Microsoft AntiSpyware Data Service InternalName : gcasDtServ LegalCopyright : Copyright © 2004-2005 Microsoft Corporation. All rights reserved. LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation. SpyNet(tm) is a trademark of Microsoft Corporation. OriginalFilename : gcasDtServ.exe #:26 [avguard.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 716 ThreadCreationTime : 17.04.2005 14:42:22 BasePriority : Normal #:27 [avwupsrv.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 704 ThreadCreationTime : 17.04.2005 14:42:22 BasePriority : Normal #:28 [nod32krn.exe] FilePath : C:\Programme\Eset\ ProcessID : 1048 ThreadCreationTime : 17.04.2005 14:42:23 BasePriority : Normal #:29 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 836 ThreadCreationTime : 17.04.2005 14:42:29 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:30 [wdfmgr.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1572 ThreadCreationTime : 17.04.2005 14:42:30 BasePriority : Normal FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act) ProductVersion : 5.2.3790.1230 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Windows User Mode Driver Manager InternalName : WdfMgr LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : WdfMgr.exe #:31 [vsmon.exe] FilePath : C:\WINDOWS\system32\ZoneLabs\ ProcessID : 1564 ThreadCreationTime : 17.04.2005 14:42:31 BasePriority : Normal FileVersion : 5.1.039.004 ProductVersion : 5.1.039.004 ProductName : TrueVector Service CompanyName : Zone Labs Inc. FileDescription : TrueVector Service InternalName : vsmon LegalCopyright : Copyright © 1998-2004, Zone Labs Inc. OriginalFilename : vsmon.exe #:32 [wuauclt.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1924 ThreadCreationTime : 17.04.2005 14:42:32 BasePriority : Normal FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04) ProductVersion : 5.4.3790.2182 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Automatische Updates InternalName : wuauclt.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : wuauclt.exe #:33 [tsmsvc.exe] FilePath : C:\Programme\T-DSL SpeedManager\ ProcessID : 2556 ThreadCreationTime : 17.04.2005 14:42:38 BasePriority : Normal #:34 [alg.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 2852 ThreadCreationTime : 17.04.2005 14:42:39 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Application Layer Gateway Service InternalName : ALG.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : ALG.exe #:35 [wmiapsrv.exe] FilePath : C:\WINDOWS\System32\wbem\ ProcessID : 3356 ThreadCreationTime : 17.04.2005 14:42:47 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : WMI-Leistungsadapter-Dienst InternalName : WmiApSrv.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : WmiApSrv.exe #:36 [wmiprvse.exe] FilePath : C:\WINDOWS\System32\wbem\ ProcessID : 3376 ThreadCreationTime : 17.04.2005 14:42:47 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : WMI InternalName : Wmiprvse.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : Wmiprvse.exe #:37 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 3688 ThreadCreationTime : 17.04.2005 14:43:45 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved #:38 [iexplore.exe] FilePath : C:\Programme\Internet Explorer\ ProcessID : 3852 ThreadCreationTime : 17.04.2005 14:45:00 BasePriority : Normal FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 6.00.2900.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Internet Explorer InternalName : iexplore LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : IEXPLORE.EXE Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Deep scanning and examining files... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Disk Scan Result for C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Disk Scan Result for C:\DOKUME~1\Daniel\LOKALE~1\Temp\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Scanning Hosts file...... Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 1 entries scanned. New critical objects:0 Objects found so far: 0 MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\microsoft\office\recent Description : list of recently opened documents using microsoft office MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Daniel\recent Description : list of recently opened documents MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\nvidia corporation\global\nview\windowmanagement Description : nvidia nview cached application window positions MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\applets\paint\recent file list Description : list of files recently opened using microsoft paint MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\explorer\runmru Description : mru list for items opened in start | run MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\office\11.0\publisher\recent file list Description : list of recent files used by microsoft publisher MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\internet explorer\main Description : last save directory used in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\realnetworks\realplayer\6.0\preferences Description : list of recent skins in realplayer MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\microsoft management console\recent file list Description : list of recent snap-ins used in the microsoft management console MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\office\10.0\common\general Description : list of recently used symbols in microsoft office MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\preferences Description : last cd record path used in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\internet explorer\typedurls Description : list of recently entered addresses in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles Description : list of recently used files in adobe reader MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\player\settings Description : last open directory used in jasc paint shop pro MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\preferences Description : last playlist index loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\realnetworks\realplayer\6.0\preferences Description : list of recent clips in realplayer MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\applets\regedit Description : last key accessed using the microsoft registry editor MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-19\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-20\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\ahead\cover designer\recent file list Description : list of recently used files in ahead cover designer MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\realnetworks\realplayer\6.0\preferences Description : last login time in realplayer MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\office\11.0\common\general Description : list of recently used symbols in microsoft office MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\preferences Description : last search path used in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\medialibraryui Description : last selected node in the microsoft windows media player media library MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\winrar\dialogedithistory\extrpath Description : winrar "extract-to" history MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows media\wmsdk\general Description : windows media sdk Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 43 16:47:45 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:01:51.981 Objects scanned:60566 Objects identified:0 Objects ignored:0 New critical objects:0 hier noch das Ergebins von NOD32 C:\hiberfil.sys - Fehler (Dateizugriff gesperrt) beim Öffnen. [4] C:\pagefile.sys - Fehler (Dateizugriff gesperrt) beim Öffnen. [4] [4] Die Datei kann nicht geöffnet werden. Sie ist in exklusiver Benutzung durch eine andere Anwendung. und hier noch AntiVir Erstellungsdatum der Reportdatei: Sonntag, 17. April 2005 17:03 AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005 Hauptptogramm 6.30.00.17 vom 07.03.2005 VDF-Datei 6.30.0.107 (0) vom 17.04.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 160178 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ Email ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 2) Benutzername: Daniel Computername: DANIEL Prozessor: Pentium Arbeitsspeicher: 392668 KB frei Versionsinformationen: AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVEWIN32.DLL : 6.30.0.7 815616 11.03.2005 12:40:48 AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50 AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20 GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32 AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26 AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26 AVPACK32.DLL : 6.30.0.8 323664 23.03.2005 16:35:52 AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10 AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12 AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32 AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32 AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18 AVRep.DLL : 6.30.00.100 1065000 15.04.2005 20:55:42 INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26 INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26 CTL3D32.DLL : 2.31.000 27136 18.08.2001 14:00:00 MFC42.DLL : 6.02.4131.0 1028096 04.08.2004 09:57:24 MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408 MSVCRT.DLL : 7.0.2600.2180 343040 04.08.2004 09:57:28 CTL3DV2.DLL : 2.29.000 26992 03.03.1995 00:00:00 Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\AVPersonal Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [ ] Alle Dateien [X] Programmdateien Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Daniel\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: Festplatte E: CDRom Start des Suchlaufs: Sonntag, 17. April 2005 17:03 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK Bootsektor von Laufwerk D: OK C:\ hiberfil.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery AbetterInternet.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AbetterInternet1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt AbetterInternet2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CallingHomebiz.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CallingHomebiz1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CallingHomebiz2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CallingHomebiz3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CallingHomebiz4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ConsulInfoBV.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearch.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearch1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearch2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearch3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ErrorGuard.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ErrorGuard1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ErrorGuard2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ErrorGuard3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MyWayMyBar.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MyWayMyBar1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt TIBS.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt TIBS1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WebInstall.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WebInstall1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WebInstall2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WebInstall3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WebInstall4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WebInstall5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WX81EP2L popcaploader_v5[1].cab ArchiveType: CAB (Microsoft) --> PopCapLoader.dll [FUND!] Ist das Trojanische Pferd TR/Hijack.PopCapLoa C:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Fehler beim Wechsel in das Verzeichnis System Volume Information C:\TEMP\Treiber Bord buma850i.exe ArchiveType: ZIP SFX (self extracting) --> 2.80.exe ArchiveType: ACE SFX (self extracting) --> setupdir WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0006 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0007 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0009 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\000a WARNUNG! Fehler beim Öffnen der Datei --> setupdir\000b WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0010 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0011 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0012 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0013 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0014 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0015 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0019 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\001d WARNUNG! Fehler beim Öffnen der Datei --> setupdir\001e WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0404 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\040c WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0416 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0804 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0809 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0816 WARNUNG! Fehler beim Öffnen der Datei --> setupdir\0c0c WARNUNG! Fehler beim Öffnen der Datei C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\Temp ZLT041d1.TMP Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Fehler beim Wechsel in das Verzeichnis System Volume Information Ende des Suchlaufs: Sonntag, 17. April 2005 17:22 Benötigte Zeit: 19:37 min 2842 Verzeichnisse wurden durchsucht 34567 Dateien wurden geprüft 30 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Virus bzw. unerwünschtes Programm wurde gefunden so das wärs, nochmals vielen Dank für deine Engelsgeduld Gruß Daniel |
|
|
||
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Start<Ausfuehren<regedit
+HKEY_CURRENT_USER\Software\Microsoft\Internet \Explorer\Desktop\Components
falls du es findest--> loesche auf der rechten Seite der Registry den Unterschluessel "0" mit Rechtsklick
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
PC neustarten
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\System32\runsrv32.exe
C:\WINDOWS\System32\runsrv32.dll
C:\WINDOWS\System32\txfdb32.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\runoledb32.exe
C:\Program Files\TopAntiSpyware
C:\WINDOWS\desktop.html
C:\WINDOWS\Web\desktop.html
C:\r.exe
C:\WINDOWS\System32\spoolsrv32.exe
PC neustarten
suche und loesche:Speedy.bat
Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert.
falls du es findest:loeschen:
•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html
so kann man C:\WINDOWS\Web\desktop.html loeschen
Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste
•C:\WINDOWS\Web\desktop.html
•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url
•Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina
rund um die PC-Sicherheit