Auswertung Datfindbat - Trojanerverdacht ?

#31 Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: B892-C076

Verzeichnis von C:\WINDOWS\system32

10.01.2006 18:17 1.158 wpa.dbl
10.01.2006 14:14 0 asfiles.txt
10.01.2006 14:11 2.550 Uninstall.ico
10.01.2006 14:11 1.406 Help.ico
06.01.2006 12:06 139.648 FNTCACHE.DAT
05.01.2006 12:54 6.948 jupdate-1.5.0_06-b05.log
05.01.2006 04:41 2.836.320 MRT.exe
05.01.2006 00:55 59.492 ansi.cfg
04.01.2006 13:03 380.684 perfh009.dat
04.01.2006 13:03 391.574 perfh007.dat
04.01.2006 13:03 53.098 perfc009.dat
04.01.2006 13:03 63.976 perfc007.dat
04.01.2006 13:03 897.778 PerfStringBackup.INI
29.12.2005 17:12 10.240 mshlpa.exe
29.12.2005 03:54 280.064 gdi32.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 90.112 vbsys2.dll
24.11.2005 00:58 3.013.632 mshtml.tmp
19.11.2005 14:34 176.167 rmoc3260.dll
19.11.2005 14:34 5.632 pndx5032.dll
19.11.2005 14:34 6.656 pndx5016.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
04.11.2005 16:27 534.280 LegitCheckControl.DLL
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 205.312 dxtrans.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 118.272 t2embed.dll
17.10.2005 22:20 80.896 fontsub.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: B892-C076

Verzeichnis von C:\DOKUME~1\Andreas\LOKALE~1\Temp

11.01.2006 23:45 32.768 ~DF49E9.tmp
11.01.2006 23:16 32.768 ~DF3963.tmp
11.01.2006 22:13 26.839 AVTMP$$$.LOG
11.01.2006 20:55 902 TWAIN.LOG
11.01.2006 20:55 5 Twain001.Mtx
11.01.2006 20:55 156 Twunk001.MTX
11.01.2006 18:12 32.768 ~DFE742.tmp
11.01.2006 17:30 0 Twunk002.MTX
11.01.2006 11:30 32.768 ~DFED3A.tmp
11.01.2006 10:47 797.676 IMT74.xml
11.01.2006 10:47 426 IMT73.xml
11.01.2006 10:47 2.036 IMT72.xml
11.01.2006 09:25 32.768 ~DF9B1F.tmp
10.01.2006 22:12 32.768 ~DF473B.tmp
10.01.2006 17:42 272.800 SNDUpdater54U.log
10.01.2006 17:42 162 SNDunin.log
10.01.2006 17:42 8.845 SYMEVENT.LOG
10.01.2006 17:42 4.191 IDSinst.LOG
10.01.2006 17:20 1.830 SNDSetup544.log
10.01.2006 17:20 298.390 SNDUpdater544I.log
10.01.2006 17:17 386 MSI5918.LOG
10.01.2006 17:16 797.676 IMT3E8.xml
10.01.2006 17:16 426 IMT3E7.xml
10.01.2006 17:16 2.036 IMT3E6.xml
10.01.2006 17:15 16.384 ~DFC10.tmp
10.01.2006 17:06 11.558 MPC3D6.tmp
10.01.2006 17:05 797.676 IMT35E.xml
10.01.2006 17:05 426 IMT35D.xml
10.01.2006 17:05 2.036 IMT35C.xml
10.01.2006 16:08 797.676 IMT322.xml
10.01.2006 16:08 426 IMT321.xml
10.01.2006 16:08 2.036 IMT320.xml
10.01.2006 11:38 32.768 ~DF7236.tmp
10.01.2006 10:26 2.040 java_install_reg.log
10.01.2006 10:20 32.768 ~DF3F12.tmp
09.01.2006 22:31 32.768 ~DF2568.tmp
09.01.2006 22:21 32.768 ~DFAB1.tmp
09.01.2006 21:42 32.768 ~DF4F73.tmp
09.01.2006 21:12 32.768 ~DF417C.tmp
09.01.2006 18:32 32.768 ~DF418F.tmp
09.01.2006 17:32 163.840 ~DFD22D.tmp
09.01.2006 13:05 32.768 ~DF500C.tmp
09.01.2006 09:49 32.768 ~DFAC8F.tmp
09.01.2006 04:20 797.676 IMT57.xml
09.01.2006 04:20 426 IMT56.xml
09.01.2006 04:20 2.036 IMT55.xml
09.01.2006 04:20 16.384 ~DF1A51.tmp
09.01.2006 04:13 11.562 MPC42.tmp
09.01.2006 04:12 32.768 ~DF453D.tmp
09.01.2006 04:12 797.676 IMT38.xml
09.01.2006 04:12 426 IMT37.xml
09.01.2006 04:12 2.036 IMT36.xml
09.01.2006 04:05 797.676 IMT1B.xml
09.01.2006 04:05 426 IMT1A.xml
09.01.2006 04:05 2.036 IMT19.xml
09.01.2006 04:05 797.676 IMT18.xml
09.01.2006 04:05 426 IMT17.xml
09.01.2006 04:05 2.036 IMT16.xml
09.01.2006 04:05 32.768 ~DF7D7D.tmp
09.01.2006 03:35 32.768 ~DF2528.tmp
08.01.2006 18:37 797.676 IMT27.xml
08.01.2006 18:37 426 IMT26.xml
08.01.2006 18:37 2.036 IMT25.xml
08.01.2006 18:09 32.768 ~DF9840.tmp
08.01.2006 15:54 32.768 ~DF3610.tmp
08.01.2006 13:18 245.760 ~DF1272.tmp
08.01.2006 10:51 32.768 ~DF5E9A.tmp
07.01.2006 23:56 14.818 2dec_appcompat.txt
07.01.2006 23:19 32.768 ~DFD7E7.tmp
07.01.2006 19:34 797.676 IMT1D7.xml
07.01.2006 19:34 426 IMT1D6.xml
07.01.2006 19:34 2.036 IMT1D5.xml
07.01.2006 19:34 797.676 IMT1D4.xml
07.01.2006 19:34 426 IMT1D3.xml
07.01.2006 19:34 2.036 IMT1D2.xml
07.01.2006 19:07 32.768 ~DFD990.tmp
07.01.2006 18:32 32.768 ~DFF6F4.tmp
07.01.2006 16:02 1.590 jusched.log
07.01.2006 14:42 220 17af_appcompat.txt
07.01.2006 10:03 32.768 ~DFFF60.tmp
06.01.2006 12:45 32.768 ~DFFBA0.tmp
06.01.2006 12:16 939 jupdate1.5.0.xml
06.01.2006 12:12 32.768 ~DF8256.tmp
05.01.2006 22:27 98 DFC5A2B2.TMP
05.01.2006 15:26 797.676 IMT6D.xml
05.01.2006 15:26 426 IMT6C.xml
05.01.2006 15:26 2.036 IMT6B.xml
05.01.2006 15:25 797.676 IMT6A.xml
05.01.2006 15:25 426 IMT69.xml
05.01.2006 15:25 2.036 IMT68.xml
05.01.2006 15:25 462 MSI35ca6.LOG
05.01.2006 15:24 884 jinstall.cfg
05.01.2006 15:07 53.740 f8fd_appcompat.txt
05.01.2006 12:53 24.756 java_install.log
05.01.2006 10:35 32.768 ~DFA7D2.tmp
05.01.2006 09:24 32.768 ~DFACB8.tmp
04.01.2006 20:08 67 ram9E.ram
04.01.2006 18:23 240.914 CMT70.tmp.jpg
04.01.2006 18:21 247.018 CMT69.tmp.jpg
04.01.2006 18:20 265.036 CMT62.tmp.jpg
04.01.2006 18:18 231.799 CMT5B.tmp.jpg
04.01.2006 18:16 222.594 CMT53.tmp.jpg
04.01.2006 13:43 32.768 ~DF6699.tmp
04.01.2006 13:26 32.768 ~DF9039.tmp
04.01.2006 13:16 147.456 ~DF1721.tmp
04.01.2006 12:19 147.456 ~DF2E81.tmp
04.01.2006 12:13 147.456 ~DFB227.tmp
04.01.2006 11:59 147.456 ~DF9C05.tmp
04.01.2006 11:48 32.768 ~DFF517.tmp
04.01.2006 10:28 596.516 gtb63.tmp.cab
04.01.2006 10:13 32.768 ~DF67B3.tmp
03.01.2006 11:29 30.796 AAX11A.tmp
03.01.2006 11:28 29.904 AAX118.tmp
03.01.2006 10:51 797.676 IMTBC.xml
03.01.2006 10:51 426 IMTBB.xml
03.01.2006 10:51 2.036 IMTBA.xml
03.01.2006 10:51 797.676 IMTB9.xml
03.01.2006 10:51 426 IMTB8.xml
03.01.2006 10:51 2.036 IMTB7.xml
03.01.2006 09:08 147.456 ~DF7337.tmp
03.01.2006 09:05 147.456 ~DFF64C.tmp
03.01.2006 08:37 32.768 ~DF730E.tmp
28.12.2005 22:15 237 INDEX.INI
28.12.2005 16:06 32.768 ~DFB03F.tmp
28.12.2005 16:00 32.768 ~DF924.tmp
28.12.2005 09:02 32.768 ~DF3AFC.tmp
18.12.2005 17:36 32.768 ~DFA0F7.tmp
17.12.2005 10:37 32.768 ~DF3E67.tmp
17.12.2005 00:14 32.768 ~DF76C2.tmp
16.12.2005 23:56 163.840 ~DFB7BE.tmp
16.12.2005 23:33 163.840 ~DF9657.tmp
16.12.2005 20:56 163.840 ~DF791C.tmp
16.12.2005 11:06 32.768 ~DF5176.tmp
15.12.2005 08:19 32.768 ~DF22.tmp
09.12.2005 09:53 32.768 ~DF640F.tmp
08.12.2005 19:58 32.768 ~DF619.tmp
08.12.2005 10:12 32.768 ~DF13D1.tmp
07.12.2005 08:27 32.768 ~DF3E63.tmp
06.12.2005 17:48 20.480 RstApp.exe
05.12.2005 08:21 32.768 ~DF27F5.tmp
04.12.2005 23:23 32.768 ~DF5765.tmp
03.12.2005 09:58 32.768 ~DF9D35.tmp
30.11.2005 19:14 32.768 ~DF8718.tmp
30.11.2005 09:26 32.768 ~DF285F.tmp
26.11.2005 19:59 32.768 ~DF83B7.tmp
23.11.2005 13:28 32.768 ~DFAAA7.tmp
22.11.2005 19:24 32.768 ~DF93E3.tmp
21.11.2005 21:53 119.016 set1D8.tmp
08.11.2005 08:34 7.927 BUILD.DAT
08.11.2005 08:32 1.048.643 INETUPD.EXE
08.11.2005 08:31 286.720 INETUPD.DLL
04.11.2005 11:42 102.400 LSETUP.EXE
04.11.2005 11:42 90.112 LSETUP.DLL
04.11.2005 08:34 1.044.520 AVWIN.DLL
04.11.2005 08:34 655.463 AVWIN.EXE
03.11.2005 17:07 1.413.160 AVREP.DLL
03.11.2005 17:07 319.528 AVPACK32.DLL
18.10.2005 13:19 122.880 AVNT.EXE
18.10.2005 12:17 229.487 AVGNT.EXE
18.10.2005 11:57 77.312 UNACEV2.DLL
17.10.2005 08:41 233.512 AVGUARD.EXE
14.10.2005 15:08 954.880 AVEWIN32.DLL
14.10.2005 12:08 36.864 AVESVCM.EXE
14.10.2005 12:08 40.960 AVESVC.EXE
14.10.2005 12:08 94.208 AVMAILC.EXE
13.10.2005 16:38 45.096 AVWUPSRV.EXE
13.10.2005 16:38 561.279 AVGCMSG.DLL
12.10.2005 12:11 1.536 ANTIVIR1.VDF
12.10.2005 12:11 29.696 ANTIVIR3.VDF
12.10.2005 12:11 1.536 ANTIVIR2.VDF
05.10.2005 16:47 4.323.840 ANTIVIR0.VDF

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: B892-C076

Verzeichnis von C:\WINDOWS

11.01.2006 23:45 0 0.log
11.01.2006 23:45 1.096.460 WindowsUpdate.log
11.01.2006 23:45 50 wiaservc.log
11.01.2006 23:45 159 wiadebug.log
11.01.2006 23:44 2.048 bootstat.dat
11.01.2006 23:43 32.640 SchedLgU.Txt
11.01.2006 20:36 355.840 offitems.log
11.01.2006 17:23 15.009 cdplayer.ini
11.01.2006 09:39 103.976 iis6.log
11.01.2006 09:39 144.851 ntdtcsetup.log
11.01.2006 09:39 236.117 comsetup.log
11.01.2006 09:39 31.727 ocmsn.log
11.01.2006 09:39 1.374 imsins.log
11.01.2006 09:39 269.749 tsoc.log
11.01.2006 09:39 10.213 KB908519.log
11.01.2006 09:39 362.707 ocgen.log
11.01.2006 09:39 34.721 msgsocm.log
11.01.2006 09:39 669.958 FaxSetup.log
11.01.2006 09:39 450.608 setupapi.log
10.01.2006 15:09 344.064 outlook.pst
10.01.2006 15:09 1.340 win.ini
10.01.2006 10:41 44 liveup.ini
09.01.2006 17:44 136 discwriter.log
09.01.2006 17:44 0 OrangeBurn.log
09.01.2006 12:10 0 nsreg.dat
09.01.2006 12:10 107.132 UninstallFirefox.exe
09.01.2006 12:10 2.763 mozver.dat
09.01.2006 10:03 1.355 imsins.BAK
09.01.2006 10:03 9.980 KB900930.log
09.01.2006 09:56 20.311 KB912919.log
08.01.2006 15:48 23.504 KB905915.log
08.01.2006 15:48 27.378 updspapi.log
07.01.2006 14:52 16.543 setupact.log
07.01.2006 11:36 7.638 RuPEu.ini
05.01.2006 10:00 69.632 uinst001.exe
28.12.2005 16:10 21.093 KB894391.log
19.12.2005 15:34 42 AcrobatSetupStatus.ini
16.12.2005 21:43 211.808 wmsetup.log
15.12.2005 14:41 11.546 KB910437.log
12.12.2005 17:59 87 BBW_INFO.INI
09.11.2005 19:33 11.853 KB896424.log
06.11.2005 21:44 0 MEMORY.DMP
17.10.2005 03:57 23.415 KB901017.log
17.10.2005 03:57 26.165 KB902400.log
17.10.2005 03:56 16.167 KB896688.log
17.10.2005 03:55 14.120 KB905414.log
17.10.2005 03:55 13.877 KB900725.log
17.10.2005 03:55 11.268 KB904706.log
17.10.2005 03:54 11.975 KB905749.log
02.10.2005 19:48 792 KB888240.log
01.10.2005 15:28 21.911 KB890923.log

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: B892-C076

Verzeichnis von C:\

11.01.2006 23:53 0 sys.txt
11.01.2006 23:51 14.399 system.txt
11.01.2006 23:50 10.203 systemtemp.txt
11.01.2006 23:48 104.500 system32.txt
11.01.2006 23:44 468.766.720 hiberfil.sys
11.01.2006 23:44 704.643.072 pagefile.sys
05.01.2006 00:55 14 config.sy_
27.10.2005 22:29 1.547 New Audio CD.axp
16.09.2005 13:17 1.218.255 Personalausweis 1.jpg
27.09.2004 19:24 211 boot.ini
27.09.2004 19:09 47.564 NTDETECT.COM
27.09.2004 19:09 251.184 ntldr
29.08.2002 13:00 4.952 bootfont.bin
06.01.2002 10:47 0 CONFIG.SYS
06.01.2002 10:47 0 MSDOS.SYS
06.01.2002 10:47 0 IO.SYS
06.01.2002 10:47 0 AUTOEXEC.BAT
17 Datei(en) 1.175.062.621 Bytes
0 Verzeichnis(se), 7.731.163.136 Bytes frei

Ist das so korrekt? Fragt
Kontrabaß

#32 kontrabass

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\mshtml.tmp
C:\WINDOWS\system32\mshlpa.exe
C:\WINDOWS\system32\mshtml.dll

C:\WINDOWS\system32\shdocvw.dll
C:\WINDOWS\system32\browseui.dll


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:

C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\mshtml.tmp
C:\WINDOWS\system32\mshlpa.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

pc neustarten

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

scanne und berichte, was geloescht wurde
http://virus-protect.org/microtrend.html
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Die Ergebnisse von virustotal.com lassen sich nicht kopieren!
Die Killbox akzeptiert die Einträge nicht!
Der Trendmicro-Scanner ist nur für Nordamerikaner und Australier downloadbar!
Der Cleaner funktioniert!
Was nun?

Grüße
Kontrabaß

#34 Die Ergebnisse von virustotal.com lassen sich nicht kopieren ?????????????

versuche es hier;
http://virusscan.jotti.org/de/

--------------------
Spysweeper trial--> scanne und poste den scanreport
http://virus-protect.org/spysweeper.html
__________
MfG Sabina

rund um die PC-Sicherheit

#35 Achtung: C:\WINDOWS\system32\mshtml.tmp kann ich nicht finden, nur mit Endung: .dll und: .tlb ,aber nicht: .tmp

Für die beiden anderen Pfade ergibt sich:

Datei: vbsys2.dll
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.Clicker.Agent-19 gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Clicker.Win32.Agent.ac gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Clicker.Win32.Agent.ac gefunden


Datei: mshlpa.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPX

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Und der Spysweeper - Report:

Trojaner
0

Systemüberwachungsprogramme
0

Adware
0

Adware-Cookies
0


Viele Grüße
Kontrabaß

#36 kontrabass

scanne bitte noch diese...sie sind alle zur gleichen zeit erstellt worden

C:\WINDOWS\system32\mshtml.dll
C:\WINDOWS\system32\shdocvw.dll
C:\WINDOWS\system32\browseui.dll
http://virusscan.jotti.org/de/

-----------------------------------------------------------

Dort werden verdächtige Dateien analysiert und an etwa 40 Hersteller von AntiVirus Programmen weitergeleitet, falls sie sich als schädlich herausstellen. So leistest Du einen aktiven Beitrag im Kampf gegen Malware!
http://www.malwareupload.com/

Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt.

C:\WINDOWS\system32\vbsys2.dll <--- Virus
C:\WINDOWS\system32\mshtml.tmp <<--das ist bestimmt der Downloader
C:\WINDOWS\system32\mshlpa.exe <---ist garantiert ein Virus (neu)

C:\WINDOWS\system32\mshtml.dll
C:\WINDOWS\system32\shdocvw.dll
C:\WINDOWS\system32\browseui.dll

bei diesen Dreien bin ich konfus, denn es sind regulaere dll, aber sie sind alle zur gleichen Zeit entstanden, zusammen mit dem Virus.

-----------------------------------------------------------------------
gefahrlos loeschen (mit der killbox )kannst du:
C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\mshtml.tmp
C:\WINDOWS\system32\mshlpa.exe

------------------------------------------------------------------------

scanne mit allen 4 Scannern, falls etwas gefunden wurde...suche den entsprechenden scanreport und kopiere ihn hier, denn mich interessiert dier anscheinend neue Virus
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Hallo Sabina,
hier zunächst mal die Scanergebnisse für:

C:\WINDOWS\system32\mshtml.dll
C:\WINDOWS\system32\shdocvw.dll
C:\WINDOWS\system32\browseui.dll


Datei: mshtml.dll
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Datei: shdocvw.dll
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Datei: browseui.dll
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Für diese Files gehe ich jetzt auf die Killbox:

C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\mshtml.tmp
C:\WINDOWS\system32\mshlpa.exe

Kann ich diese ohne Probleme löschen?:

C:\WINDOWS\system32\mshtml.dll
C:\WINDOWS\system32\shdocvw.dll
C:\WINDOWS\system32\browseui.dll

Achtung! Betrifft Multi_AV.exe: ich habe nun das "Start Menue mit Sophos etc. auf dem Bildschirm klicke die 1. aber es tut sich nichts. Wie bringe ich den Scan zu laufen?

Wichtig: diese drei Files werden von der Killbox nicht akzeptiert:
C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\mshtml.tmp
C:\WINDOWS\system32\mshlpa.exe
nach Anklicken des roten Buttons erscheint: verifying Registry Entries und dann: Rename operations registry Data has been removed by external process.

Was tun?

P.S. im Explorer finde ich nun unter C die Killbox mit drei "Dokumenten":

1. ein Ordnersymbol, bezeichnet mit "Logs"
2. ein Symbol " mshlpa.exe"
3. ein Symbol "vbsys2.dll"

alle drei sind wohl aktiv, soll ich die aus dem Killbox-Ordner rauslöschen?

Viele Grüße
Kontrabaß

#38 Guten Abend,

bißchen spätes Feedback von mir:

Fixme.reg wurde gemäß Deinen Anweisungen im abgesicherten Modus ausgeführt, PC danach neu gestartet und RegSrch.vbs --> MS Dns Service ebenfalls ausgeführt. Hier das Ergebnis:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "MS Dns Service" 13.01.2006 00:22:22

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINNET\0000]
"DeviceDesc"="MS Dns Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINNET\0000]
"DeviceDesc"="MS Dns Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINNET\0000]
"DeviceDesc"="MS Dns Service"

Die Datei c:\windows\system32\wincntrl.exe ist nirgendwo vorhanden ?

Wie muß/soll ich nun weiter vorgehen ?

#39 kontrabass

Erstelle eine neue Datei C:\bad

Schritt 2 :
Start - Ausführen - cmd (reinschreiben)

kopiere in das DOS-Fenster:
-- und klicke jedes Mal -- [enter]

move C:\WINDOWS\system32\vbsys2.dll C:\bad
move C:\WINDOWS\system32\mshtml.tmp C:\bad
move C:\WINDOWS\system32\mshlpa.exel C:\bad

Schritt 3 :
C:\bad loeschen (wenn bis dahin alles gut funktioniert)
----------------------------------------------------------------------------
wenn die scans funktionieren sollen, musst du eine Internetverbindung haben

-----------------------------------------------------------------------------

Zitat

1. ein Ordnersymbol, bezeichnet mit "Logs"
2. ein Symbol " mshlpa.exe"
3. ein Symbol "vbsys2.dll"
alle drei sind wohl aktiv, soll ich die aus dem Killbox-Ordner rauslöschen?

--> ja ...loeschen
__________
MfG Sabina

rund um die PC-Sicherheit

#40 CelticDreams

Start -- Ausführen -- regedit (reinschreiben)

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINNET\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINNET\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINNET\0000

PC neustarten

scanne mit allen 4 Scannern, falls etwas gefunden wurde...suche den entsprechenden scanreport und kopiere ihn hier
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit

#41 Danke für die fixe Antwort (mal wieder !).

Hab alles erledigt - Schlüssel sind gelöscht

#42 ich bitte um Entschuldigung: wie erstelle ich die neue Datei?

fragt Kontrabass

#43 start--> Mein Computer--> klicke auf Lokal Disk C --> dort rechtsklick auf den Bildschirm, dann kannst du mit "neu" (bei mir in Englisch ist es "new" eine neue Datei erstellen.
nenne sie bad

dann muesstest du eine c:\bad haben.
__________
MfG Sabina

rund um die PC-Sicherheit

#44 CelticDreams

es muesste wieder alles in Ordnung sein, dennoch mache einen Onlinescan mit kaspersky
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#45 "Mein Computer" existiert in meinem XP - Startmenü nicht! Was tun?
MfG
Kontrabaß

P.S. Danke, jetzt habe ich einen Ordner "bad" unter c

Also, neuer Stand der Dinge: im DOS-Fenster wird bei jeder der drei schlimmen Dateien angegeben: Das System kann die angegebene Datei nicht finden. Sind die tatsächlich schon, eliminiert oder habe ich die bad-Datei nicht richtig angelegt oder sonst etwas falsch gemacht?

Noch etwas: die vier Scanner habe ich erolgreich im Fenster Sophos usw. Klicke ich die 1. an wird sie weiß, aber es tut sich nichts. Mit enter komme ich auch nicht weiter, mit h=help erst recht nicht! Online bin ich natürlich!

Nochmals viele Grüße
Kontrabaß

Achtung, nocheinmal ein Nachtrag: über die Nacht habe ich C mit Kasperski online gesannt, hier das Resultat:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, January 13, 2006 09:00:07
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 13/01/2006
Kaspersky Anti-Virus database records: 160442
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 66248
Number of viruses found: 1
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 3306 sec

Infected Object Name - Virus Name
C:\System Volume Information\_restore{E9F41CC2-9569-4AE7-8FF6-87E1F0FC5996}\RP602\A0046641.dll Infected: Trojan-Clicker.Win32.Agent.ac
C:\System Volume Information\_restore{E9F41CC2-9569-4AE7-8FF6-87E1F0FC5996}\RP603\A0046686.dll Infected: Trojan-Clicker.Win32.Agent.ac

Scan process completed.

Wie soll es jetzt nur weitergehen?

fragt Kontrabaß