Wie lösche ich einen Worm/RBOT.174080?? |
||
---|---|---|
#0
| ||
30.03.2006, 21:07
...neu hier
Beiträge: 3 |
||
|
||
02.04.2006, 11:48
...neu hier
Beiträge: 5 |
#17
Habe mir auch diesen Worm VB/DW eingefangen könnt ihr mir helfen???
|
|
|
||
08.09.2006, 16:20
...neu hier
Beiträge: 3 |
#18
Hallo
Ich habe mir vor 1 Woche den RBot.174080 eingefangen. Ich habe anschliessend eine Systemwiederherstellung auf den Tag vor der Infektion gemacht. Zuerst hat es den Anschein gemacht, dass die Sache in Ordnung ist. Doch heute hat AntiVir erneut das Vorhandensein des Wurms angezeigt. In der Zwischenzeit habe ich versucht mich bei Euch hier ein wenig schlau zu machen und poste schon mal nachfolgend die 4 Log-Dateien gemäss Datfind sowie den HiJack-Log. Viele herzlichen Dank schon im voraus für die Hilfe. Freundliche Grüsse, RCAL Datentr„ger in Laufwerk C: ist RCAL01 Volumeseriennummer: F4B5-F693 Verzeichnis von C:\ 08.09.2006 16:10 0 sys.txt 08.09.2006 16:10 12'349 system.txt 08.09.2006 16:10 2'252 systemtemp.txt 08.09.2006 16:09 104'588 system32.txt 08.09.2006 15:54 1'063'768'064 hiberfil.sys 08.09.2006 15:54 1'598'029'824 pagefile.sys 14.08.2006 18:55 92 ResumeOmgApDeliveryMgrCntrl_SonicStage_EmdDownloadObj.dmf 19.07.2006 22:41 527 hpfr3420.xml 19.07.2006 22:41 128'897 hpfr3425.log Datentr„ger in Laufwerk C: ist RCAL01 Volumeseriennummer: F4B5-F693 Verzeichnis von C:\WINDOWS\system32 08.09.2006 15:54 1'158 wpa.dbl 16.08.2006 21:50 1'093'632 pxsfs.dll 09.08.2006 21:03 8'325'544 MRT.exe 28.07.2006 13:30 3'079'168 mshtml.dll 27.07.2006 15:25 679'424 inetcomm.dll 25.07.2006 22:42 617'472 urlmon.dll 23.07.2006 20:01 139'264 hpzjrd01.dll 21.07.2006 16:45 238'352 FNTCACHE.DAT 21.07.2006 10:29 72'704 hlink.dll 19.07.2006 22:21 380'684 perfh009.dat 19.07.2006 22:21 391'574 perfh007.dat 19.07.2006 22:21 53'098 perfc009.dat 19.07.2006 22:21 63'976 perfc007.dat 19.07.2006 22:21 897'778 PerfStringBackup.INI 14.07.2006 17:38 332'288 netapi32.dll 14.07.2006 17:25 546'304 hhctrl.ocx 13.07.2006 15:34 8'494'592 shell32.dll 05.07.2006 12:55 1'057'792 kernel32.dll 26.06.2006 19:40 148'480 dnsapi.dll 26.06.2006 19:40 8'192 rasadhlp.dll 23.06.2006 13:25 1'497'088 shdocvw.dll 23.06.2006 13:25 670'208 wininet.dll 23.06.2006 13:25 474'624 shlwapi.dll 23.06.2006 13:25 251'904 iepeers.dll 23.06.2006 13:25 146'432 msrating.dll 23.06.2006 13:25 96'768 inseng.dll 23.06.2006 13:25 205'312 dxtrans.dll 23.06.2006 13:25 357'888 dxtmsft.dll 23.06.2006 13:25 448'512 mshtmled.dll 23.06.2006 13:25 532'480 mstime.dll 23.06.2006 13:25 39'424 pngfilt.dll 23.06.2006 13:25 15'872 jsproxy.dll 23.06.2006 13:25 55'808 extmgr.dll 23.06.2006 13:25 152'064 cdfview.dll 23.06.2006 13:25 1'022'976 browseui.dll 23.06.2006 13:25 1'056'256 danim.dll 23.06.2006 11:09 104'960 xpsp3res.dll 19.06.2006 16:20 702'768 WgaLogon.dll 19.06.2006 16:19 571'184 LegitCheckControl.dll 19.06.2006 16:19 304'944 WgaTray.exe 15.06.2006 20:18 57'384 avsda.dll 01.06.2006 20:47 27'648 jgpl400.dll 01.06.2006 20:47 163'840 jgdw400.dll Datentr„ger in Laufwerk C: ist RCAL01 Volumeseriennummer: F4B5-F693 Verzeichnis von C:\WINDOWS 08.09.2006 15:54 0 0.log 08.09.2006 15:54 1'908'741 WindowsUpdate.log 08.09.2006 15:54 157 wiadebug.log 08.09.2006 15:54 50 wiaservc.log 08.09.2006 15:54 2'048 bootstat.dat 08.09.2006 13:35 32'550 SchedLgU.Txt 03.09.2006 19:30 49 NeroDigital.ini 24.08.2006 20:42 2'560 _MSRSTRT.EXE 22.08.2006 17:58 973 GEARInstall.log 22.08.2006 17:58 956'146 setupapi.log 16.08.2006 21:56 78'526 wmsetup.log 16.08.2006 21:53 316'640 WMSysPr9.prx 15.08.2006 20:39 218'903 setupact.log 15.08.2006 20:08 86 KE.log 14.08.2006 11:13 77'820 iis6.log 14.08.2006 11:13 171'655 comsetup.log 14.08.2006 11:13 102'408 ntdtcsetup.log 14.08.2006 11:13 26'877 ocmsn.log 14.08.2006 11:13 190'782 tsoc.log 14.08.2006 11:13 1'374 imsins.log 14.08.2006 11:13 13'219 KB920214.log 14.08.2006 11:13 24'355 msgsocm.log 14.08.2006 11:13 236'301 ocgen.log 14.08.2006 11:13 481'472 FaxSetup.log 14.08.2006 11:13 1'374 imsins.BAK 14.08.2006 11:13 13'139 KB922616.log 14.08.2006 11:13 31'195 updspapi.log 14.08.2006 11:13 16'904 KB921398.log 12.08.2006 10:36 35'714 KB918899.log 12.08.2006 10:33 13'079 KB920670.log 12.08.2006 10:33 13'241 KB917422.log 12.08.2006 10:33 13'498 KB920683.log 10.08.2006 11:18 12'270 KB921883.log 03.08.2006 21:45 700 cdplayer.ini 23.07.2006 20:48 0 hpqEmlSz.INI 23.07.2006 20:18 227 HP_CounterReport_Update_HPSU.ini 23.07.2006 20:18 214 HP_48BitScanUpdatePatch.ini 23.07.2006 20:05 234 PrnHlpLogConfig.ini 23.07.2006 20:05 228 HP_ISRegionListUpdatelog_HPSU.ini 23.07.2006 20:04 214 HP_InstantSHareJPG.ini 23.07.2006 20:04 217 HP_IZClosingDiscErrorPatch.ini 23.07.2006 20:03 206 HPGdiPlus.ini 23.07.2006 20:01 221 HP_RedboxHprblog_HPSU.ini 23.07.2006 20:00 221 NCLogConfig.ini 22.07.2006 14:14 713 win.ini 21.07.2006 16:33 89'224 hpoins06.dat 19.07.2006 22:04 13'018 KB917159.log 19.07.2006 22:04 10'492 WgaNotify.log 19.07.2006 22:04 13'525 KB914388.log 19.07.2006 22:04 11'633 KB916595.log 17.06.2006 12:18 2'735 spupdsvc.log 17.06.2006 12:17 14'438 KB917734.log 17.06.2006 12:16 16'974 KB918439.log 17.06.2006 12:16 17'657 KB917344.log 17.06.2006 12:16 16'619 KB917953.log 17.06.2006 12:16 16'596 KB911280.log 17.06.2006 12:16 26'589 KB916281.log 17.06.2006 12:15 16'637 KB914389.log 16.06.2006 15:01 0 BBCAuto.INI Datentr„ger in Laufwerk C: ist RCAL01 Volumeseriennummer: F4B5-F693 Verzeichnis von C:\DOKUME~1\RCAL\LOKALE~1\Temp 08.09.2006 15:54 16'384 ~DFBB71.tmp 08.09.2006 15:54 114 STSB.tmp 08.09.2006 15:54 1'285 MAR9.tmp 08.09.2006 15:54 1'342 MAR8.tmp 08.09.2006 15:54 16'384 ~DF5916.tmp 08.09.2006 13:35 32'527 hpodvd09.log 07.09.2006 18:08 114 STS64.tmp 07.09.2006 18:04 48 _te5D.tmp 07.09.2006 18:04 30'558 _te5F.tmp 07.09.2006 18:04 0 _te60.tmp 07.09.2006 18:04 0 _te5E.tmp 06.09.2006 20:59 28 _te1B.tmp 06.09.2006 20:59 0 _te1E.tmp 06.09.2006 20:59 0 _te1C.tmp 06.09.2006 20:59 0 _te1D.tmp 06.09.2006 20:58 28 _te15.tmp 06.09.2006 20:58 0 _te16.tmp 06.09.2006 20:58 0 _te17.tmp 06.09.2006 20:58 0 _te18.tmp 06.09.2006 20:38 47'122 DIO11.tmp 06.09.2006 20:37 47'122 DIOF.tmp 06.09.2006 20:37 47'122 DIOE.tmp 06.09.2006 20:06 1'285 MAR7.tmp 06.09.2006 20:06 1'342 MAR6.tmp 04.09.2006 19:00 114 STS14.tmp 04.09.2006 18:08 47'122 DIOD.tmp 04.09.2006 18:07 47'122 DIOC.tmp 04.09.2006 18:07 47'122 DIOB.tmp 04.09.2006 17:59 1'285 MAR5.tmp 04.09.2006 17:59 1'342 MAR4.tmp 03.09.2006 19:30 114 STS1C.tmp 03.09.2006 18:59 0 em640216.htm 03.09.2006 18:43 47'122 DIO9.tmp 03.09.2006 18:43 47'122 DIO8.tmp 03.09.2006 18:43 47'122 DIO5.tmp 03.09.2006 18:43 1'285 MAR3.tmp 03.09.2006 18:43 1'342 MAR2.tmp 03.09.2006 18:23 47'122 DIO58.tmp 03.09.2006 18:23 117 STS56.tmp 03.09.2006 18:23 47'122 DIO54.tmp 03.09.2006 18:23 1'285 MAR53.tmp 03.09.2006 18:23 1'342 MAR52.tmp Logfile of HijackThis v1.99.1 Scan saved at 15:57:39, on 08.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\WINDOWS\system32\ZoomingHook.exe C:\WINDOWS\system32\TCtrlIOHook.exe C:\WINDOWS\system32\TPSMain.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\Programme\TOSHIBA\Tvs\TvsTray.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Gigaset DECT\gigaset-m34-usb\dlrblckr.exe C:\Programme\Gigaset DECT\gigaset-m34-software\skypeclient.exe C:\Programme\Gigaset DECT\gigaset-m34-software\messengerservice.exe C:\Programme\Gigaset DECT\gigaset-m34-software\keymap.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\system32\TPSBattM.exe C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Logitech\SetPoint\LBTWiz.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gigaset DECT\gigaset-m34-software\appsvr.exe C:\Programme\RocketDock\RocketDock.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Basta Computing\ZMover\ZMover.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\SpeedProject\SpeedCommander 11\SpeedCommander.exe C:\WINDOWS\system32\wscntfy.exe C:\DOKUME~1\RCAL\LOKALE~1\Temp\SQZC.tmp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [dlrblckr.exe] "C:\Programme\Gigaset DECT\gigaset-m34-usb\dlrblckr.exe" O4 - HKLM\..\Run: [skypeclient.exe] "C:\Programme\Gigaset DECT\gigaset-m34-software\skypeclient.exe" O4 - HKLM\..\Run: [messengerservice.exe] "C:\Programme\Gigaset DECT\gigaset-m34-software\messengerservice.exe" O4 - HKLM\..\Run: [keymap.exe] "C:\Programme\Gigaset DECT\gigaset-m34-software\keymap.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe" O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [SpySpotter] C:\Programme\SpySpotter3\SpySpotter.exe -startup O4 - HKCU\..\Run: [SpySpotter System Defender] C:\Programme\SpySpotter3\Defender.exe -startup O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Startup: ZMover.lnk = C:\Programme\Basta Computing\ZMover\ZMover.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: LBTWlgn - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe Dieser Beitrag wurde am 08.09.2006 um 16:29 Uhr von RCAL editiert.
|
|
|
||
08.09.2006, 23:02
Ehrenmitglied
Beiträge: 29434 |
#19
RCAL
** Sophos aktuellste Virendefinitionsdateien 1.) IDEs für SAV Version .... 2006 (4.04) Aktuelle Web-Version Aktuelle CD und Web-Version Download Zip Download Exe 121 http://www.sophos.de/downloads/ide/ 2.) http://www.sophos.de/tools/sav32sfx.exe 3.) gehe in C:\ 4.) klicke SAV32CLI ** in den logs kann ich nichts ehen, du musst den scanreport vom antivirus hier posten, oder wenigstens den Teil , wo der Virenpfad angegeben wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.09.2006, 23:31
...neu hier
Beiträge: 3 |
#20
Hallo Sabina
Besten Dank für Deine Antwort. Nachfolgend sende ich Dir den AntiVir-Log nach Prüfung des Windows-Systemverzeichnisses. SAV32CLI ist gelaufen, doch ist mir nicht klar, was ich damit hätte machen sollen resp. was mir dieser Vorgang hätte liefern sollen. Noch wichtig zu sagen ist, dass ich das File, welches AntiVir heute nachmittag Worm-behaftet gemeldet hat, gleich in Quarantäne geschickt und anschliessend gelöscht habe. Leider kann ich Dir Pfad und Dateiname nicht genau nennen. Doch es handelte sich um irgend eine Volume-Information-Datei. Was sollte ich denn Deiner Meinung nach noch tun? Freundliche Grüsse, Ralph AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Freitag, 8. September 2006 23:15 Es wird nach 500244 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: RCAL Computername: RCAL01 Versionsinformationen: AVSCAN.EXE : 7.0.0.42 557096 12.02.2006 12:22:53 AVSCAN.DLL : 7.0.0.42 57384 12.02.2006 12:22:53 LUKE.DLL : 7.0.0.42 118824 12.02.2006 12:22:53 LUKERES.DLL : 7.0.0.42 32808 12.02.2006 12:22:53 ANTIVIR0.VDF : 6.35.0.1 7371264 12.02.2006 12:22:52 ANTIVIR1.VDF : 6.35.1.122 1270784 12.02.2006 12:22:52 ANTIVIR2.VDF : 6.35.1.200 237056 12.02.2006 12:22:52 ANTIVIR3.VDF : 6.35.1.205 13824 12.02.2006 12:22:52 AVEWIN32.DLL : 7.1.1.16 1835520 12.02.2006 12:22:52 AVPREF.DLL : 7.0.0.1 53288 12.02.2006 12:22:53 AVREP.DLL : 6.35.1.191 794664 12.02.2006 12:22:53 AVRPBASE.DLL : 7.0.0.0 2162728 06.05.2006 21:43:46 AVPACK32.DLL : 7.1.0.1 335912 12.02.2006 12:22:53 AVREG.DLL : 6.31.0.90 27688 12.02.2006 12:22:53 NETNT.DLL : 6.32.0.0 6696 12.02.2006 12:22:53 NETNW.DLL : 6.32.0.0 9768 12.02.2006 12:22:53 RCIMAGE.DLL : 7.0.0.71 1642536 12.02.2006 12:22:53 RCTEXT.DLL : 7.0.0.75 77864 12.02.2006 12:22:53 Konfiguration für den aktuellen Suchlauf: Job Name......................: Windows Systemverzeichnis Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\sysdir.avp Bootsektoren..................: C Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 1 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: -1 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Freitag, 8. September 2006 23:15 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 78 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 59 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Freitag, 8. September 2006 23:21 Benötigte Zeit: 05:33 min Der Suchlauf wurde vollständig durchgeführt. 269 Verzeichnisse wurden überprüft 5668 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 8 Archive wurden durchsucht 10 Warnungen 0 Hinweise |
|
|
||
08.09.2006, 23:43
Ehrenmitglied
Beiträge: 29434 |
#21
von Punkt 1 bis 4 erklaert
Zitat 1.) IDEs für SAV Version .... 2006 (4.04) Aktuelle Web-Version------------------------------------- Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.09.2006, 10:32
...neu hier
Beiträge: 3 |
#22
Auf der IDE-Web-Site von Sophos sehe ich nur die Versionen 4.07-4.09 und noch zusätzlich die 10 aktuellsten IDEs. Muss ich alle IDEs downloaden oder nur 4.09 (September)? So wie ich's verstehe reicht die Neuste (4.09). Untenstehend poste ich Dir die Resultate von SAV32CLI.
Danach habe ich die Systemwiederherstellung aus- und wieder eingeschaltet. Ich hoffe, dass ich alles richtig gemacht habe. Was meinst Du, ist mein System wieder "sauber"? Erst mal vielen Dank für Deine Hilfe und freundliche Grüsse Ralph ************************************ Hier die Resultate von SAV32CLI: C:\SAV32CLI>sav32cli Sophos Anti-Virus Version 4.09.0 [Win32/Intel] Virus data version 4.09, September 2006 Includes detection for 187725 viruses, trojans and worms Copyright (c) 1989-2006 Sophos Plc, www.sophos.com System time 10:09:05, System date 09 September 2006 IDE directory is: C:\SAV32CLI Using IDE file ircbo-pf.ide Using IDE file dloa-alc.ide Using IDE file banc-atd.ide ... ... ... Using IDE file dos-ag.ide Using IDE file ds060908.ide Using IDE file agen-cry.ide Quick Scanning Password protected file C:\Dokumente und Einstellungen\RCAL\Anwendungsdaten\Adob e\Acrobat\7.0\Messages\DEU\read0600win_DEUyhoo0010.pdf Password protected file C:\Dokumente und Einstellungen\RCAL\Anwendungsdaten\Adob e\Acrobat\7.0\Messages\DEU\read0700win_DEUadbe0700.pdf Could not open C:\hiberfil.sys Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMs gDEU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0 600win_DEUyhoo0010.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMs gENU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0 600win_ENUyhoo0010.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSpl ash.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearc hENU.pdf 1 boot sector swept. 26283 files swept in 12 minutes and 50 seconds. 9 errors were encountered. No viruses were discovered. 8 encrypted files were not checked. Ending Sophos Anti-Virus. |
|
|
||
09.09.2006, 12:08
Ehrenmitglied
Beiträge: 29434 |
#23
RCAL
es ist alles wieder o.k. ...wenn es noch Probleme geben sollte, melde dich wieder __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.06.2007, 18:42
...neu hier
Beiträge: 1 |
#24
Ich ahbe auch eine worm aufem com weis auch nicht was ich machen soll bitte helft mir schnell. Sag mir was ich machen soll. bitte
Logfile of HijackThis v1.99.1 Scan saved at 18:37:26, on 28.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\WINDOWS\msk.exe C:\WINDOWS\xdr32.exe C:\WINDOWS\scvhost.exe C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\Rundll32.exe C:\Programme\CleanUp!\Cleanup.exe C:\DOKUME~1\Carina\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = Berufswahlinfo R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.DLL R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.DLL O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\5.bin\MWSBAR.DLL O2 - BHO: trafficninja.biz extension - {266A3562-AB67-480E-9F09-D54604FD817B} - C:\WINDOWS\system32\ninjaext.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Rotator - {BDD8121B-D4AE-4ac9-AD54-C8DC3F1155E6} - C:\WINDOWS\system32\cpmrotate.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ICQ Lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\5.bin\MWSBAR.DLL,S O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe O4 - HKLM\..\Run: [NI.UERSU_0001_N86M1007] "C:\Dokumente und Einstellungen\Carina\Desktop\ErrorSafeScannerInstall_de.exe" -nag O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S10E.tmp" /EF "HKLM" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [adstart] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\cpmrotate.dll" DllVerify O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SecureWeb] C:\WINDOWS\system32\7VxicUXK.exe O4 - HKLM\..\Run: [msk.exe] C:\WINDOWS\msk.exe s O4 - HKLM\..\Run: [xdr] C:\WINDOWS\xdr32.exe s O4 - HKLM\..\Run: [msnmsgr.exe] C:\WINDOWS\msnmsgr.exe -s O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZC O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: mshtmsdt.dll e1.dll e0xl9pvsp2.dll O20 - Winlogon Notify: msprwinn - C:\WINDOWS\system32\msprwinn.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe |
|
|
||
antivir meldet nix mehr beim hochfahren und der pandascan funktioniert nicht.
keine ahnung warum.
naja, der wurm scheint weg zu sein und das reicht mir.
vielen dank für die hilfe! hätte ich alleine nie hin gekriegt.
also, bis dann mal, gruß mikkkele