Trojaner TR/Dldr.Agent.uj.1 läßt sich nicht löschen |
||
---|---|---|
#0
| ||
15.04.2006, 09:26
Ehrenmitglied
Beiträge: 29434 |
||
|
||
15.04.2006, 13:50
Member
Beiträge: 19 |
#47
HKLM\S-1-5-21-1644491937-879983540-839522115-1004\RemoteAccess\InternetProfile 09.09.2005 13:06 21 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 23.03.2006 16:04 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 23.03.2006 16:04 111.50 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 15.04.2006 13:35 64.00 KB Hidden from Windows API. |
|
|
||
15.04.2006, 14:38
Ehrenmitglied
Beiträge: 29434 |
#48
ich finde nichts mehr...
es ist sauber. Tmp.edb -> This is a temporary workspace for processing transactions ---------------------------------------------------------------------------- multiavtool http://virus-protect.org/multiavtool.html wie ich von anderen Usern gehoert habe, muss eine Internetverbindung bestehen und vor jedem Scann das Tool geupdatet werden.... * klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ * klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 17:12
Member
Beiträge: 19 |
#49
Erster Scan:
Virus Scan Report File Virus Scan Information McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4741 created Apr 14 2006 Scanning for 186744 viruses, trojans and variants. Virus Scan Results 04/15/2006 17:09:42 Options: "C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [Betriebssystem] Scanning C:\WINDOWS\SYSTEM32\*.* Summary report on C:\WINDOWS\SYSTEM32\*.* File(s) Total files: ........... 6856 Clean: ................. 6846 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 1 Time: 00:03.03 Das Ergebnis vom zweiten Scan: Virus Scan Report File Virus Scan Information McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4741 created Apr 14 2006 Scanning for 186744 viruses, trojans and variants. Virus Scan Results 04/15/2006 17:17:15 Options: "C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [Betriebssystem] Scanning C:\WINDOWS\*.* Summary report on C:\WINDOWS\*.* File(s) Total files: ........... 38385 Clean: ................. 38374 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 1 Time: 00:11.25 und nummer Drei: Virus Scan Report File Virus Scan Information McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4741 created Apr 14 2006 Scanning for 186744 viruses, trojans and variants. Virus Scan Results 04/15/2006 17:31:25 Options: "C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [Betriebssystem] Scanning C:\*.* Summary report on C:\*.* File(s) Total files: ........... 107750 Clean: ................. 107683 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 2 Time: 00:20.07 Dieser Beitrag wurde am 15.04.2006 um 17:50 Uhr von Leyje editiert.
|
|
|
||
15.04.2006, 20:38
Ehrenmitglied
Beiträge: 29434 |
#50
nun, der PC ist sauber. was die zwei verdam... Eintraege betrifft... sind sie weg ???
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 21:54
Member
Beiträge: 19 |
#51
Logfile of HijackThis v1.99.1
Scan saved at 21:53:13, on 15.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\sstray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe C:\Programme\AntiVir PersonalEdition Premium\sched.exe C:\Programme\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe D:\Programme\ewido anti-malware\ewidoctrl.exe D:\Programme\ewido anti-malware\ewidoguard.exe C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe D:\Programme\HJT\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4D855DFC-2DB5-43F0-814A-257F4C074CF1} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7576af59-76ba-46fc-9876-624f1814d885} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: SATARaid.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {12F7F128-B36C-4843-8AA4-A5F71A969331} - O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135383880609 O20 - Winlogon Notify: Zboard - C:\WINDOWS\SYSTEM32\Winlognotif.dll O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe |
|
|
||
15.04.2006, 23:25
Ehrenmitglied
Beiträge: 29434 |
#52
Leyje
selten aber wahr...ich gebs auf. Lass den PC , wie er ist, denn er ist annaehernd sauber. Wenn du mal ans Formatieren denkst...so mache es __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 23:37
Member
Beiträge: 19 |
#53
Dann erst einmal ein dickes DANKE!
ich werde die Einträge im Auge behalten und ab und an mal HJT drüber jagen. In den letten Tagen hatte ich ja reichlich Gelegenheit die Abgründe meines PCs zu betrachten. Schade das man als Otto-Normal von diesen SW - Struckturen so ver''gageiert'' werden kann. Die Zeiten in denen man Flachrelais für Rechner baute oder später den Z80 wünsche ich mir zwar nicht unbedingt zurück, aber sie waren doch noch Nachvollziehbare Dinge und auch für den Nicht-Fachman erlernbar. Frohe Ostern. Nachtrag: fast vergessen.. die Änderungen die von den .reg Dateien bei jedem PC Start durchgeführt werden müssen so drinn bleiben , oder muss ich da noch was ändern ? (dat.reg, fix.reg, fixme.reg, log.reg) Dieser Beitrag wurde am 16.04.2006 um 00:05 Uhr von Leyje editiert.
|
|
|
||
16.04.2006, 13:04
Ehrenmitglied
Beiträge: 29434 |
#54
Zitat die Änderungen die von den .reg Dateien bei jedem PC Start durchgeführt werden müssen so drinn bleiben , oder muss ich da noch was ändern ?wieso muessen die bei jedem Start neu ausgefuehrt werden ??? Du hast sie der Registry beigefuegt (hoffentlich) und da sind sie nun verankert. Ich verstehe deine Frage nicht.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.04.2006, 08:01
Member
Beiträge: 19 |
#55
War wohl ein Spybot - Problem . Nach Aufruf von Spybot traten keine erneuten Anfragen zur Bestätigung von Spybot mehr auf.
kA was das jetzt war! |
|
|
||
Zitat
bestetige die Anderung in der Registry, vom Spybot (ohne Nachfrage)die beiden Schluessel, die wir nicht wegbekommen, gehoeren zur Malware.
RootkitRevealer --> poste dieses Log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina
rund um die PC-Sicherheit