Verseucht mit vielen unterschiedlichen Viren etc.

Thema ist geschlossen!
Thema ist geschlossen!
#0
11.01.2006, 17:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 es schaut gut aus ;)

scanne noch mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.01.2006, 20:37
Member

Themenstarter

Beiträge: 38
#17 Hallo Sabina,

Kaspersky hat noch etwas gefunden - auf dem Laufwerk D, dass ich bisher nicht gescannt hatte. Soll ich das einfach löschen?

Anschließend habe ich noch einen Voll-System-scan mit ad-aware gemacht: auch der ist nochmals fündig geworden (die Ergebnisse wurden von Ad-aware bereinigt). Beide Logs kopiere ich Dir hier hinein.

Gruß

Trimalcio

1. Kaspersky

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, January 11, 2006 20:04:29
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 11/01/2006
Kaspersky Anti-Virus database records: 160208
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
H:\
I:\
S:\
Z:\

Scan Statistics:
Total number of scanned objects: 120280
Number of viruses found: 1
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 3955 sec

Infected Object Name - Virus Name
D:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP148\A0037098.exe Infected: Backdoor.Win32.Agent.rw
D:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP148\A0037099.exe Infected: Backdoor.Win32.Agent.rw

Scan process completed.




2. AdAware:


Ergebnis des Arbeitsspeicherscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 0


Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Windows Objekt erkannt!
Typ : RegData
Daten : regedit.exe %1
TAC-Bewertung : 3
Kategorie : Vulnerability
Kommentar : Possible virus infection, REG file extension compromised
ROOTKEY : HKEY_CLASSES_ROOT
Objekt : regfile\shell\open\command
Wert :
Daten : regedit.exe %1

Ergebnis des Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 1
Bisher gefundene Objekte: 1


Gründlicher Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis des gründlichen Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 1


Tracking Cookie-Scan wurde gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : (....Name.....)@as1.falkag[2].txt
TAC-Bewertung : 3
Kategorie : Data Miner
Kommentar : Hits:18
Wert : Cookie;)Name)@as1.falkag.de/
Expires : 12.03.2006 16:46:16
LastSync : Hits:18
UseCount : 0
Hits : 18

Tracking Cookie Objekt erkannt!
Typ : IECache Entry
Daten : (Name)@2o7[2].txt
TAC-Bewertung : 3
Kategorie : Data Miner
Kommentar : Hits:2
Wert : Cookie;)Name)@2o7.net/
Expires : 10.01.2011 16:18:38
LastSync : Hits:2
UseCount : 0
Hits : 2

Ergebnis des Tracking Cookie-Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 2
Bisher gefundene Objekte: 3



Dateien werden gründlich gescannt und überprüft (C;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

UnSpyPC Objekt erkannt!
Typ : Datei
Daten : A0019818.exe
TAC-Bewertung : 6
Kategorie : Misc
Kommentar :
Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP137\
FileVersion : 2.1.6.0
ProductVersion : 2.1.6.0
ProductName : UnSpyPC spyware scanner
CompanyName : SpySoft LLC
FileDescription : UnSpyPC spyware scanner
InternalName : UnSpyPC
LegalCopyright : (c) SpySoft LLC, 2004
OriginalFilename : UnSpyPC.exe


UnSpyPC Objekt erkannt!
Typ : Datei
Daten : A0019819.exe
TAC-Bewertung : 6
Kategorie : Misc
Kommentar :
Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP137\



UnSpyPC Objekt erkannt!
Typ : Datei
Daten : A0019821.exe
TAC-Bewertung : 6
Kategorie : Misc
Kommentar :
Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP137\



UnSpyPC Objekt erkannt!
Typ : Datei
Daten : A0022927.exe
TAC-Bewertung : 6
Kategorie : Misc
Kommentar :
Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP137\



UnSpyPC Objekt erkannt!
Typ : Datei
Daten : A0036969.exe
TAC-Bewertung : 6
Kategorie : Misc
Kommentar :
Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP147\



Win32.TrojanClicker Objekt erkannt!
Typ : Datei
Daten : A0036972.exe
TAC-Bewertung : 6
Kategorie : Data Miner
Kommentar :
Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP147\



Ergebnis d. Datenträgerscans für C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 9


Dateien werden gründlich gescannt und überprüft (D;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ergebnis d. Datenträgerscans für D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 9


Bedingte Scans werden durchgeführt...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.TrojanClicker Objekt erkannt!
Typ : Regkey
Daten :
TAC-Bewertung : 6
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : software\microsoft\downloadmanager

Win32.TrojanClicker Objekt erkannt!
Typ : RegData
Daten : c:\windows\system32\userinit.exe,
TAC-Bewertung : 6
Kategorie : Data Miner
Kommentar :
ROOTKEY : HKEY_LOCAL_MACHINE
Objekt : software\microsoft\windows nt\currentversion\winlogon
Wert : Userinit
Daten : c:\windows\system32\userinit.exe,

Ergebnis des bedingten Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 2
Bisher gefundene Objekte: 11

20:22:51 Scan abgeschlossen

Scanzusammenfassung
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Scandauer insges.:00:05:51.589
Gescannte Objekte:130378
Identifizierte Objekte:11
Ignorierte Objekte:0
Neue kritische Objekte:11
Seitenanfang Seitenende
11.01.2006, 21:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 findest du ?
C:\Programme\UnSpyPC --> wenn ja...deinstallieren und alles loeschen.

Kommst du in die Registry? Oder wurde es vom Administrator deaktiviert?
---------------

die Systemwiederherstellung muss unbedingt deaktiviert werden, dann booten und wieder aktivieren.

Glaubst du nicht auch...du solltest der Person, welche die PCs in der Firma betreut, Bescheid sagen?

Info:
http://virus-protect.org/artikel/spyware/idemlog2.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.01.2006, 08:16
Member

Themenstarter

Beiträge: 38
#19 Hallo Sabina,

natürlich wäre es das Beste, wenn ich den PC-Verantwortlichen Meldung machen würde.

Ich denke aber, es wäre ein Leichtes zu sehen, wo ich mir diesen Krempel eingefangen habe. Das wäre dann ein sehr großes Problem für mich. Ich bin nicht stolz darauf - aber so ist es jetzt nunmal....

Die beiden Funde von Kaspersky kann ich nicht beseitigen, da ich auf D: System Volume Information keinen Zugriff habe.

Eine Datei/ einen Ordner "UnSpyPC" habe ich nicht gefunden, die Suchfunktion findet einen Dateinamenbestandteil "..unspy..." weder auf C: noch auf D:. Ich hatte schon am 2.1.2006 etwas ähnliches (was ein lebhaftes Eigenleben hatte) deinstalliert, vielleicht war es das.

"die Systemwiederherstellung muss unbedingt deaktiviert werden, dann booten und wieder aktivieren": wie geht das (in die Registry komme ich)?



Du hast mir schon eine Menge geholfen, dafür bin ich dankbar - und hätte vollstes Verständnis, wenn Dir das jetzt zu undurchsichtig wird.

Aber ich würde mich natürlich sehr freuen, wenn Du mich doch weiter unterstützt.

Gruß

Trimalcio
Seitenanfang Seitenende
12.01.2006, 09:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (wenn dann nach den Virenscanns alles sauber ist....das Haekchen wieder setzen)
http://virus-protect.org/systemwiederherstellung.html


http://virus-protect.org/multiavtool.html
scanne, mit allen vier Optionen (es sind vier Antivirentools hier vereint)
dann suche die scanreporte (alle 4 ) und kopiere raus, was an viren gefunden/geloescht wurde.

P.S.

klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll

- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

hier lasse auch alles von D:\ scannen
------------------------------------------------------------------

wenn das fertig ist, kopiere hier den Silentrunner

http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.01.2006, 18:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
dann ist wieder alles in Ordnung, AdAware reklamiert, dass die Registry deaktiviert wurde, das machen normalerweise Viren...aber in diesem Fall war es wohl aus guten Gruenden der Administrator.

Ich denke, der PC war noch nie so sauber ;)
Aktiviere wieder die Systemwiederherstellung und passe in Zukunft besser auf, wohin du dich im Net mit einem Firmenrechner begibst ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.01.2006, 18:59
Member

Themenstarter

Beiträge: 38
#22 Hallo Sabina,

was genau soll ich mit "fixme.reg" machen? Ich hab es in den Editor kopiert, als fixme.reg auf dem desctop gespeichert und dann ausgeführt (Doppelklick). es kam dann eine Meldung, dass das nicht zu importieren sei.

Hat die Infektionswarnung des Silentrunners noch etwas zu bedeuten?
HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

Wenn es das ansonsten gewesen ist (ich mags noch kaum glauben), weiß ich vor Dankbarkeit kaum wohin :-) Das ist schon was Gutes, was Ihr hier macht - mit wohl nicht wenig Zeitaufwand.

Also nochmals einfach: DANKE!

Gruß

Trimalcio
Seitenanfang Seitenende
13.01.2006, 00:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 meine reg-Datei ist korrekt, aber lass...es auch gut so...in der Registry rumwerkeln wird mir doch zu heiss.
Lass es so...es funktioniert alles ???

OFFICE11\ ist in Ordnung, es ist kein "boeser" Eintrag.
Loesche die fixme.reg.

Alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2006, 08:08
Member

Themenstarter

Beiträge: 38
#24 Hallo Sabina,

der PC läuft "wie´n Tüt"!

In der Tat besser als vor dem Angriff. Da gibt es wohl auch Sicherheitslücken. Der PC hat einen Client von TrendMicro-Office Scan. Der wird zentral aktualisiert- wie regelmäßig vermag ich nicht nachzuvollziehen. Die Firewall ist die von Windows (ist aber aktiv).

Alles Gute auch für Dich :-)

Trimalcio
Seitenanfang Seitenende