Virus - und weiter?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
11.01.2006, 14:38
Member
Beiträge: 16 |
||
|
||
11.01.2006, 16:39
Ehrenmitglied
Beiträge: 29434 |
#2
Archilles
Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread wende das Tool nach Anleitung an CleanUp http://virus-protect.org/cleanup.html datfindbat--> kopiere die 4 Textdateien (3 Monate vom Datum her genuegen http://virus-protect.org/datfindbat.html ------------------------- howiper.exe --> Win32/Qhosts http://virus-protect.org/artikel/spyware/idemlog.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.01.2006, 22:07
Member
Themenstarter Beiträge: 16 |
#3
Hier das Ergebnis von Blacklight:
01/12/06 21:59:18 [Info]: BlackLight Engine 1.0.30 initialized 01/12/06 21:59:18 [Info]: OS: 5.1 build 2600 (Service Pack 1) 01/12/06 21:59:19 [Note]: 7019 4 01/12/06 21:59:19 [Note]: 7005 0 01/12/06 21:59:21 [Note]: 7006 0 01/12/06 21:59:21 [Note]: 7011 2028 01/12/06 21:59:21 [Note]: FSRAW library version 1.7.1014 01/12/06 22:00:28 [Note]: 7007 0 Hier das Ergebnis von datfind.bat: Verzeichnis von C:\WINDOWS\system32 12.01.2006 19:13 311.740 perfh009.dat 12.01.2006 19:13 40.128 perfc009.dat 12.01.2006 19:13 48.354 perfc007.dat 12.01.2006 19:13 316.924 perfh007.dat 12.01.2006 19:13 723.744 PerfStringBackup.INI 12.01.2006 19:04 25.065 wmpscheme.xml 12.01.2006 19:03 2.206 wpa.dbl 12.01.2006 19:02 90.296 FNTCACHE.DAT 12.01.2006 19:02 261 $winnt$.inf 12.01.2006 19:00 2.951 CONFIG.NT 12.01.2006 19:00 16.832 amcompat.tlb 12.01.2006 19:00 23.392 nscompat.tlb 12.01.2006 18:59 488 WindowsLogon.manifest 12.01.2006 18:59 488 logonui.exe.manifest 12.01.2006 18:59 749 wuaucpl.cpl.manifest 12.01.2006 18:59 749 ncpa.cpl.manifest 12.01.2006 18:59 749 sapi.cpl.manifest 12.01.2006 18:59 749 cdplayer.exe.manifest 12.01.2006 18:59 749 nwc.cpl.manifest 12.01.2006 18:58 21.740 emptyregdb.dat 12.01.2006 18:55 0 h323log.txt 26.05.2005 04:19 173.536 wuweb.dll 03.08.2004 14:06 421.656 wuapi.dll 03.08.2004 14:05 186.648 wuaueng1.dll 03.08.2004 14:02 169.752 wuauclt1.exe 03.08.2004 14:02 114.456 wuauclt.exe 03.08.2004 14:01 119.576 wucltui.dll 03.08.2004 14:00 1.081.112 wuaueng.dll 03.08.2004 14:00 71.448 cdm.dll 03.08.2004 14:00 39.704 wups.dll 03.08.2004 13:59 185.624 iuengine.dll 03.08.2004 13:59 168.216 wuaucpl.cpl Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp Verzeichnis von C:\WINDOWS 12.01.2006 21:37 8.597 WindowsUpdate.log 12.01.2006 21:37 213.952 setupapi.log 12.01.2006 20:40 0 0.log 12.01.2006 20:40 2.048 bootstat.dat 12.01.2006 20:40 1.316 SchedLgU.Txt 12.01.2006 20:29 310 nsw.log 12.01.2006 20:16 3.072 Ascd_tmp.ini 12.01.2006 19:44 0 nsreg.dat 12.01.2006 19:39 107.132 UninstallFirefox.exe 12.01.2006 19:39 2.258 mozver.dat 12.01.2006 19:18 281 system.ini 12.01.2006 19:04 829 OEWABLog.txt 12.01.2006 19:03 789.517 setuplog.txt 12.01.2006 19:02 8.192 REGLOCS.OLD 12.01.2006 19:02 47.956 iis6.log 12.01.2006 19:02 7.961 ntdtcsetup.log 12.01.2006 19:02 15.931 comsetup.log 12.01.2006 19:02 10.190 tsoc.log 12.01.2006 19:02 4.382 imsins.log 12.01.2006 19:02 1.315 tabletoc.log 12.01.2006 19:02 186.799 setupact.log 12.01.2006 19:00 0 control.ini 12.01.2006 19:00 472 win.ini 12.01.2006 19:00 299.552 WMSysPrx.prx 12.01.2006 19:00 4.161 ODBCINST.INI 12.01.2006 19:00 280 Windows Update.log 12.01.2006 18:59 749 WindowsShell.Manifest 12.01.2006 18:58 870 msgsocm.log 12.01.2006 18:58 1.065 ocmsn.log 12.01.2006 18:58 15.505 ocgen.log 12.01.2006 18:58 11.537 FaxSetup.log 12.01.2006 18:58 1.060 sessmgr.setup.log 12.01.2006 18:58 2.477 netfxocm.log 12.01.2006 18:58 37 vbaddin.ini 12.01.2006 18:58 36 vb.ini 12.01.2006 18:58 128 DtcInstall.log 12.01.2006 18:57 10.030 msmqinst.log 12.01.2006 18:50 50 wiaservc.log 12.01.2006 18:50 509 wiadebug.log 12.01.2006 18:50 0 Sti_Trace.log 12.01.2006 18:49 1.348 regopt.log 12.01.2006 18:48 0 setuperr.log Verzeichnis von C:\ 12.01.2006 22:06 0 sys.txt 12.01.2006 22:05 3.853 system.txt 12.01.2006 22:04 133 systemtemp.txt 12.01.2006 22:02 85.717 system32.txt 12.01.2006 20:40 1.610.612.736 pagefile.sys 12.01.2006 19:00 0 AUTOEXEC.BAT 12.01.2006 19:00 0 CONFIG.SYS 12.01.2006 19:00 0 IO.SYS 12.01.2006 19:00 0 MSDOS.SYS 12.01.2006 18:57 194 boot.ini 29.08.2002 00:05 235.296 ntldr 28.08.2002 20:08 47.580 NTDETECT.COM 18.08.2001 20:00 4.952 bootfont.bin 13 Datei(en) 1.610.990.461 Bytes 0 Verzeichnis(se), 17.630.543.872 Bytes frei Ich habe auch nochmal den Online-Scanner von Kaspersky laufen lassen. Nichts gefunden. CleanUp hat ebenfalls nicht gefunden. Genauso wie Ad-Aware. Kann ich mir nun sicher sein, dass keine Viren oder sonstige Sachen auf meinem Rechner sind? Kann ich auch meine anderen Laufwerke überprüfen? Hinterher ist noch auf einem anderen Laufwerk ein Virus. Danke schonmal für deine Hilfe. |
|
|
||
13.01.2006, 01:34
Ehrenmitglied
Beiträge: 29434 |
#4
kopiere hier bitte das Log vom Silentrunner
http://virus-protect.org/silentrunner.html Wareout-Verseuchung http://virus-protect.org/artikel/spyware/favset.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.01.2006, 20:24
Member
Themenstarter Beiträge: 16 |
#5
Hier die Ergebnisse von SilentRunner:
"Silent Runners.vbs", revision 43, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "AWMON" = ""C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"" ["Lavasoft Sweden"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided) \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "System" = (value not set) HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ kavsvc, kavsvc, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"] Kerio Personal Firewall 4, KPF4, "C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe" ["Kerio Technologies"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 26 seconds, including 17 seconds for message boxes) und FixWareOut: Fixwareout ver 1.003 Last edited 12/5/2005 Post this report in the forums please Reg Entries that were deleted PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool |
|
|
||
14.01.2006, 00:11
Ehrenmitglied
Beiträge: 29434 |
||
|
||
14.01.2006, 01:22
Member
Themenstarter Beiträge: 16 |
#7
Also kann ich sicher sein, dass auch auf meinen anderen Laufwerken nichts mehr ist?
Vielen Dank für deine Hilfe!! :-) |
|
|
||
gestern hat Norton AntiVirus 2005 auf meinem PC folgende Viruswarnmeldung angezeigt:
C:\windows\system32\howiper.exe > Reparatur fehlgeschlagen
C:\windows\system32\howiper.exe > Zugriff verweigert
Daraufhin habe ich Ad-Aware laufen lassen. Hat aber nichts gefunden. Danach hab ich Norton AntiVirus einen vollständigen Systemscan machen lassen, ebenfalls ohne Ergebnis.
Um sicher zu gehen, dass alles wieder okay ist, hab ich die Festplatte formatiert und bin jetzt dabei mein System neu aufzuziehen. Kann ich nun sicher sein, dass der Virus auch komplett entfernt ist? Oder kann sich ein Virus auch auf einem meiner anderen Laufwerke eingenistet haben?
Weiß zufällig jemand, was die Datei howiper.exe anrichtet?
Hoffe das mir jemand helfen kann.