Virus - und weiter?

Thema ist geschlossen!
Thema ist geschlossen!
#0
11.01.2006, 14:38
Member

Beiträge: 16
#1 Hallo,

gestern hat Norton AntiVirus 2005 auf meinem PC folgende Viruswarnmeldung angezeigt:

C:\windows\system32\howiper.exe > Reparatur fehlgeschlagen
C:\windows\system32\howiper.exe > Zugriff verweigert

Daraufhin habe ich Ad-Aware laufen lassen. Hat aber nichts gefunden. Danach hab ich Norton AntiVirus einen vollständigen Systemscan machen lassen, ebenfalls ohne Ergebnis.

Um sicher zu gehen, dass alles wieder okay ist, hab ich die Festplatte formatiert und bin jetzt dabei mein System neu aufzuziehen. Kann ich nun sicher sein, dass der Virus auch komplett entfernt ist? Oder kann sich ein Virus auch auf einem meiner anderen Laufwerke eingenistet haben?

Weiß zufällig jemand, was die Datei howiper.exe anrichtet?

Hoffe das mir jemand helfen kann.
Seitenanfang Seitenende
11.01.2006, 16:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Archilles

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread

wende das Tool nach Anleitung an
CleanUp http://virus-protect.org/cleanup.html

datfindbat--> kopiere die 4 Textdateien (3 Monate vom Datum her genuegen
http://virus-protect.org/datfindbat.html

-------------------------
howiper.exe --> Win32/Qhosts
http://virus-protect.org/artikel/spyware/idemlog.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.01.2006, 22:07
Member

Themenstarter

Beiträge: 16
#3 Hier das Ergebnis von Blacklight:

01/12/06 21:59:18 [Info]: BlackLight Engine 1.0.30 initialized
01/12/06 21:59:18 [Info]: OS: 5.1 build 2600 (Service Pack 1)
01/12/06 21:59:19 [Note]: 7019 4
01/12/06 21:59:19 [Note]: 7005 0
01/12/06 21:59:21 [Note]: 7006 0
01/12/06 21:59:21 [Note]: 7011 2028
01/12/06 21:59:21 [Note]: FSRAW library version 1.7.1014
01/12/06 22:00:28 [Note]: 7007 0

Hier das Ergebnis von datfind.bat:
Verzeichnis von C:\WINDOWS\system32

12.01.2006 19:13 311.740 perfh009.dat
12.01.2006 19:13 40.128 perfc009.dat
12.01.2006 19:13 48.354 perfc007.dat
12.01.2006 19:13 316.924 perfh007.dat
12.01.2006 19:13 723.744 PerfStringBackup.INI
12.01.2006 19:04 25.065 wmpscheme.xml
12.01.2006 19:03 2.206 wpa.dbl
12.01.2006 19:02 90.296 FNTCACHE.DAT
12.01.2006 19:02 261 $winnt$.inf
12.01.2006 19:00 2.951 CONFIG.NT
12.01.2006 19:00 16.832 amcompat.tlb
12.01.2006 19:00 23.392 nscompat.tlb
12.01.2006 18:59 488 WindowsLogon.manifest
12.01.2006 18:59 488 logonui.exe.manifest
12.01.2006 18:59 749 wuaucpl.cpl.manifest
12.01.2006 18:59 749 ncpa.cpl.manifest
12.01.2006 18:59 749 sapi.cpl.manifest
12.01.2006 18:59 749 cdplayer.exe.manifest
12.01.2006 18:59 749 nwc.cpl.manifest
12.01.2006 18:58 21.740 emptyregdb.dat
12.01.2006 18:55 0 h323log.txt
26.05.2005 04:19 173.536 wuweb.dll
03.08.2004 14:06 421.656 wuapi.dll
03.08.2004 14:05 186.648 wuaueng1.dll
03.08.2004 14:02 169.752 wuauclt1.exe
03.08.2004 14:02 114.456 wuauclt.exe
03.08.2004 14:01 119.576 wucltui.dll
03.08.2004 14:00 1.081.112 wuaueng.dll
03.08.2004 14:00 71.448 cdm.dll
03.08.2004 14:00 39.704 wups.dll
03.08.2004 13:59 185.624 iuengine.dll
03.08.2004 13:59 168.216 wuaucpl.cpl

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp


Verzeichnis von C:\WINDOWS

12.01.2006 21:37 8.597 WindowsUpdate.log
12.01.2006 21:37 213.952 setupapi.log
12.01.2006 20:40 0 0.log
12.01.2006 20:40 2.048 bootstat.dat
12.01.2006 20:40 1.316 SchedLgU.Txt
12.01.2006 20:29 310 nsw.log
12.01.2006 20:16 3.072 Ascd_tmp.ini
12.01.2006 19:44 0 nsreg.dat
12.01.2006 19:39 107.132 UninstallFirefox.exe
12.01.2006 19:39 2.258 mozver.dat
12.01.2006 19:18 281 system.ini
12.01.2006 19:04 829 OEWABLog.txt
12.01.2006 19:03 789.517 setuplog.txt
12.01.2006 19:02 8.192 REGLOCS.OLD
12.01.2006 19:02 47.956 iis6.log
12.01.2006 19:02 7.961 ntdtcsetup.log
12.01.2006 19:02 15.931 comsetup.log
12.01.2006 19:02 10.190 tsoc.log
12.01.2006 19:02 4.382 imsins.log
12.01.2006 19:02 1.315 tabletoc.log
12.01.2006 19:02 186.799 setupact.log
12.01.2006 19:00 0 control.ini
12.01.2006 19:00 472 win.ini
12.01.2006 19:00 299.552 WMSysPrx.prx
12.01.2006 19:00 4.161 ODBCINST.INI
12.01.2006 19:00 280 Windows Update.log
12.01.2006 18:59 749 WindowsShell.Manifest
12.01.2006 18:58 870 msgsocm.log
12.01.2006 18:58 1.065 ocmsn.log
12.01.2006 18:58 15.505 ocgen.log
12.01.2006 18:58 11.537 FaxSetup.log
12.01.2006 18:58 1.060 sessmgr.setup.log
12.01.2006 18:58 2.477 netfxocm.log
12.01.2006 18:58 37 vbaddin.ini
12.01.2006 18:58 36 vb.ini
12.01.2006 18:58 128 DtcInstall.log
12.01.2006 18:57 10.030 msmqinst.log
12.01.2006 18:50 50 wiaservc.log
12.01.2006 18:50 509 wiadebug.log
12.01.2006 18:50 0 Sti_Trace.log
12.01.2006 18:49 1.348 regopt.log
12.01.2006 18:48 0 setuperr.log

Verzeichnis von C:\

12.01.2006 22:06 0 sys.txt
12.01.2006 22:05 3.853 system.txt
12.01.2006 22:04 133 systemtemp.txt
12.01.2006 22:02 85.717 system32.txt
12.01.2006 20:40 1.610.612.736 pagefile.sys
12.01.2006 19:00 0 AUTOEXEC.BAT
12.01.2006 19:00 0 CONFIG.SYS
12.01.2006 19:00 0 IO.SYS
12.01.2006 19:00 0 MSDOS.SYS
12.01.2006 18:57 194 boot.ini
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
18.08.2001 20:00 4.952 bootfont.bin
13 Datei(en) 1.610.990.461 Bytes
0 Verzeichnis(se), 17.630.543.872 Bytes frei


Ich habe auch nochmal den Online-Scanner von Kaspersky laufen lassen. Nichts gefunden.
CleanUp hat ebenfalls nicht gefunden. Genauso wie Ad-Aware.

Kann ich mir nun sicher sein, dass keine Viren oder sonstige Sachen auf meinem Rechner sind? Kann ich auch meine anderen Laufwerke überprüfen? Hinterher ist noch auf einem anderen Laufwerk ein Virus.

Danke schonmal für deine Hilfe.
Seitenanfang Seitenende
13.01.2006, 01:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 kopiere hier bitte das Log vom Silentrunner
http://virus-protect.org/silentrunner.html

Wareout-Verseuchung
http://virus-protect.org/artikel/spyware/favset.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2006, 20:24
Member

Themenstarter

Beiträge: 16
#5 Hier die Ergebnisse von SilentRunner:

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"AWMON" = ""C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"" ["Lavasoft Sweden"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

kavsvc, kavsvc, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]
Kerio Personal Firewall 4, KPF4, "C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe" ["Kerio Technologies"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 26 seconds, including 17 seconds for message boxes)



und FixWareOut:

Fixwareout ver 1.003
Last edited 12/5/2005
Post this report in the forums please

Reg Entries that were deleted

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool
Seitenanfang Seitenende
14.01.2006, 00:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 es ist alles sauber...hast ja auch formatiert ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2006, 01:22
Member

Themenstarter

Beiträge: 16
#7 Also kann ich sicher sein, dass auch auf meinen anderen Laufwerken nichts mehr ist?

Vielen Dank für deine Hilfe!! :-)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: