Verseucht mit vielen unterschiedlichen Viren etc.Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
11.01.2006, 17:34
Ehrenmitglied
Beiträge: 29434 |
||
|
||
11.01.2006, 20:37
Member
Themenstarter Beiträge: 38 |
#17
Hallo Sabina,
Kaspersky hat noch etwas gefunden - auf dem Laufwerk D, dass ich bisher nicht gescannt hatte. Soll ich das einfach löschen? Anschließend habe ich noch einen Voll-System-scan mit ad-aware gemacht: auch der ist nochmals fündig geworden (die Ergebnisse wurden von Ad-aware bereinigt). Beide Logs kopiere ich Dir hier hinein. Gruß Trimalcio 1. Kaspersky ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Wednesday, January 11, 2006 20:04:29 Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 11/01/2006 Kaspersky Anti-Virus database records: 160208 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ D:\ E:\ F:\ H:\ I:\ S:\ Z:\ Scan Statistics: Total number of scanned objects: 120280 Number of viruses found: 1 Number of infected objects: 2 Number of suspicious objects: 0 Duration of the scan process: 3955 sec Infected Object Name - Virus Name D:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP148\A0037098.exe Infected: Backdoor.Win32.Agent.rw D:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP148\A0037099.exe Infected: Backdoor.Win32.Agent.rw Scan process completed. 2. AdAware: Ergebnis des Arbeitsspeicherscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 0 Registrierungsscan gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Windows Objekt erkannt! Typ : RegData Daten : regedit.exe %1 TAC-Bewertung : 3 Kategorie : Vulnerability Kommentar : Possible virus infection, REG file extension compromised ROOTKEY : HKEY_CLASSES_ROOT Objekt : regfile\shell\open\command Wert : Daten : regedit.exe %1 Ergebnis des Registrierungsscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 1 Bisher gefundene Objekte: 1 Gründlicher Registrierungsscan gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis des gründlichen Registrierungsscans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 1 Tracking Cookie-Scan wurde gestartet »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking Cookie Objekt erkannt! Typ : IECache Entry Daten : (....Name.....)@as1.falkag[2].txt TAC-Bewertung : 3 Kategorie : Data Miner Kommentar : Hits:18 Wert : CookieName)@as1.falkag.de/ Expires : 12.03.2006 16:46:16 LastSync : Hits:18 UseCount : 0 Hits : 18 Tracking Cookie Objekt erkannt! Typ : IECache Entry Daten : (Name)@2o7[2].txt TAC-Bewertung : 3 Kategorie : Data Miner Kommentar : Hits:2 Wert : CookieName)@2o7.net/ Expires : 10.01.2011 16:18:38 LastSync : Hits:2 UseCount : 0 Hits : 2 Ergebnis des Tracking Cookie-Scans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 2 Bisher gefundene Objekte: 3 Dateien werden gründlich gescannt und überprüft (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» UnSpyPC Objekt erkannt! Typ : Datei Daten : A0019818.exe TAC-Bewertung : 6 Kategorie : Misc Kommentar : Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP137\ FileVersion : 2.1.6.0 ProductVersion : 2.1.6.0 ProductName : UnSpyPC spyware scanner CompanyName : SpySoft LLC FileDescription : UnSpyPC spyware scanner InternalName : UnSpyPC LegalCopyright : (c) SpySoft LLC, 2004 OriginalFilename : UnSpyPC.exe UnSpyPC Objekt erkannt! Typ : Datei Daten : A0019819.exe TAC-Bewertung : 6 Kategorie : Misc Kommentar : Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP137\ UnSpyPC Objekt erkannt! Typ : Datei Daten : A0019821.exe TAC-Bewertung : 6 Kategorie : Misc Kommentar : Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP137\ UnSpyPC Objekt erkannt! Typ : Datei Daten : A0022927.exe TAC-Bewertung : 6 Kategorie : Misc Kommentar : Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP137\ UnSpyPC Objekt erkannt! Typ : Datei Daten : A0036969.exe TAC-Bewertung : 6 Kategorie : Misc Kommentar : Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP147\ Win32.TrojanClicker Objekt erkannt! Typ : Datei Daten : A0036972.exe TAC-Bewertung : 6 Kategorie : Data Miner Kommentar : Objekt : C:\System Volume Information\_restore{D0D95FB6-9DA9-48E2-857D-FA8A6071E39A}\RP147\ Ergebnis d. Datenträgerscans für C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 9 Dateien werden gründlich gescannt und überprüft (D »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ergebnis d. Datenträgerscans für D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 0 Bisher gefundene Objekte: 9 Bedingte Scans werden durchgeführt... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Win32.TrojanClicker Objekt erkannt! Typ : Regkey Daten : TAC-Bewertung : 6 Kategorie : Data Miner Kommentar : ROOTKEY : HKEY_LOCAL_MACHINE Objekt : software\microsoft\downloadmanager Win32.TrojanClicker Objekt erkannt! Typ : RegData Daten : c:\windows\system32\userinit.exe, TAC-Bewertung : 6 Kategorie : Data Miner Kommentar : ROOTKEY : HKEY_LOCAL_MACHINE Objekt : software\microsoft\windows nt\currentversion\winlogon Wert : Userinit Daten : c:\windows\system32\userinit.exe, Ergebnis des bedingten Scans: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Neue kritische Objekte: 2 Bisher gefundene Objekte: 11 20:22:51 Scan abgeschlossen Scanzusammenfassung »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Scandauer insges.:00:05:51.589 Gescannte Objekte:130378 Identifizierte Objekte:11 Ignorierte Objekte:0 Neue kritische Objekte:11 |
|
|
||
11.01.2006, 21:22
Ehrenmitglied
Beiträge: 29434 |
#18
findest du ?
C:\Programme\UnSpyPC --> wenn ja...deinstallieren und alles loeschen. Kommst du in die Registry? Oder wurde es vom Administrator deaktiviert? --------------- die Systemwiederherstellung muss unbedingt deaktiviert werden, dann booten und wieder aktivieren. Glaubst du nicht auch...du solltest der Person, welche die PCs in der Firma betreut, Bescheid sagen? Info: http://virus-protect.org/artikel/spyware/idemlog2.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.01.2006, 08:16
Member
Themenstarter Beiträge: 38 |
#19
Hallo Sabina,
natürlich wäre es das Beste, wenn ich den PC-Verantwortlichen Meldung machen würde. Ich denke aber, es wäre ein Leichtes zu sehen, wo ich mir diesen Krempel eingefangen habe. Das wäre dann ein sehr großes Problem für mich. Ich bin nicht stolz darauf - aber so ist es jetzt nunmal.... Die beiden Funde von Kaspersky kann ich nicht beseitigen, da ich auf D: System Volume Information keinen Zugriff habe. Eine Datei/ einen Ordner "UnSpyPC" habe ich nicht gefunden, die Suchfunktion findet einen Dateinamenbestandteil "..unspy..." weder auf C: noch auf D:. Ich hatte schon am 2.1.2006 etwas ähnliches (was ein lebhaftes Eigenleben hatte) deinstalliert, vielleicht war es das. "die Systemwiederherstellung muss unbedingt deaktiviert werden, dann booten und wieder aktivieren": wie geht das (in die Registry komme ich)? Du hast mir schon eine Menge geholfen, dafür bin ich dankbar - und hätte vollstes Verständnis, wenn Dir das jetzt zu undurchsichtig wird. Aber ich würde mich natürlich sehr freuen, wenn Du mich doch weiter unterstützt. Gruß Trimalcio |
|
|
||
12.01.2006, 09:50
Ehrenmitglied
Beiträge: 29434 |
#20
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (wenn dann nach den Virenscanns alles sauber ist....das Haekchen wieder setzen)
http://virus-protect.org/systemwiederherstellung.html http://virus-protect.org/multiavtool.html scanne, mit allen vier Optionen (es sind vier Antivirentools hier vereint) dann suche die scanreporte (alle 4 ) und kopiere raus, was an viren gefunden/geloescht wurde. P.S. klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ hier lasse auch alles von D:\ scannen ------------------------------------------------------------------ wenn das fertig ist, kopiere hier den Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.01.2006, 18:25
Ehrenmitglied
Beiträge: 29434 |
#21
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4dann ist wieder alles in Ordnung, AdAware reklamiert, dass die Registry deaktiviert wurde, das machen normalerweise Viren...aber in diesem Fall war es wohl aus guten Gruenden der Administrator. Ich denke, der PC war noch nie so sauber Aktiviere wieder die Systemwiederherstellung und passe in Zukunft besser auf, wohin du dich im Net mit einem Firmenrechner begibst __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.01.2006, 18:59
Member
Themenstarter Beiträge: 38 |
#22
Hallo Sabina,
was genau soll ich mit "fixme.reg" machen? Ich hab es in den Editor kopiert, als fixme.reg auf dem desctop gespeichert und dann ausgeführt (Doppelklick). es kam dann eine Meldung, dass das nicht zu importieren sei. Hat die Infektionswarnung des Silentrunners noch etwas zu bedeuten? HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] Wenn es das ansonsten gewesen ist (ich mags noch kaum glauben), weiß ich vor Dankbarkeit kaum wohin :-) Das ist schon was Gutes, was Ihr hier macht - mit wohl nicht wenig Zeitaufwand. Also nochmals einfach: DANKE! Gruß Trimalcio |
|
|
||
13.01.2006, 00:58
Ehrenmitglied
Beiträge: 29434 |
#23
meine reg-Datei ist korrekt, aber lass...es auch gut so...in der Registry rumwerkeln wird mir doch zu heiss.
Lass es so...es funktioniert alles ??? OFFICE11\ ist in Ordnung, es ist kein "boeser" Eintrag. Loesche die fixme.reg. Alles Gute fuer dich + PC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.01.2006, 08:08
Member
Themenstarter Beiträge: 38 |
#24
Hallo Sabina,
der PC läuft "wie´n Tüt"! In der Tat besser als vor dem Angriff. Da gibt es wohl auch Sicherheitslücken. Der PC hat einen Client von TrendMicro-Office Scan. Der wird zentral aktualisiert- wie regelmäßig vermag ich nicht nachzuvollziehen. Die Firewall ist die von Windows (ist aber aktiv). Alles Gute auch für Dich :-) Trimalcio |
|
|
||
scanne noch mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina
rund um die PC-Sicherheit