Wie lösche ich einen Worm/RBOT.174080??

#16 hey,
antivir meldet nix mehr beim hochfahren und der pandascan funktioniert nicht.
keine ahnung warum.

naja, der wurm scheint weg zu sein und das reicht mir.

vielen dank für die hilfe! hätte ich alleine nie hin gekriegt.

also, bis dann mal, gruß mikkkele

#17 Habe mir auch diesen Worm VB/DW eingefangen könnt ihr mir helfen???

#18 Hallo

Ich habe mir vor 1 Woche den RBot.174080 eingefangen. Ich habe anschliessend eine Systemwiederherstellung auf den Tag vor der Infektion gemacht. Zuerst hat es den Anschein gemacht, dass die Sache in Ordnung ist. Doch heute hat AntiVir erneut das Vorhandensein des Wurms angezeigt. In der Zwischenzeit habe ich versucht mich bei Euch hier ein wenig schlau zu machen und poste schon mal nachfolgend die 4 Log-Dateien gemäss Datfind sowie den HiJack-Log. Viele herzlichen Dank schon im voraus für die Hilfe.

Freundliche Grüsse, RCAL

Datentr„ger in Laufwerk C: ist RCAL01
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\

08.09.2006 16:10 0 sys.txt
08.09.2006 16:10 12'349 system.txt
08.09.2006 16:10 2'252 systemtemp.txt
08.09.2006 16:09 104'588 system32.txt
08.09.2006 15:54 1'063'768'064 hiberfil.sys
08.09.2006 15:54 1'598'029'824 pagefile.sys
14.08.2006 18:55 92 ResumeOmgApDeliveryMgrCntrl_SonicStage_EmdDownloadObj.dmf
19.07.2006 22:41 527 hpfr3420.xml
19.07.2006 22:41 128'897 hpfr3425.log


Datentr„ger in Laufwerk C: ist RCAL01
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS\system32

08.09.2006 15:54 1'158 wpa.dbl
16.08.2006 21:50 1'093'632 pxsfs.dll
09.08.2006 21:03 8'325'544 MRT.exe
28.07.2006 13:30 3'079'168 mshtml.dll
27.07.2006 15:25 679'424 inetcomm.dll
25.07.2006 22:42 617'472 urlmon.dll
23.07.2006 20:01 139'264 hpzjrd01.dll
21.07.2006 16:45 238'352 FNTCACHE.DAT
21.07.2006 10:29 72'704 hlink.dll
19.07.2006 22:21 380'684 perfh009.dat
19.07.2006 22:21 391'574 perfh007.dat
19.07.2006 22:21 53'098 perfc009.dat
19.07.2006 22:21 63'976 perfc007.dat
19.07.2006 22:21 897'778 PerfStringBackup.INI
14.07.2006 17:38 332'288 netapi32.dll
14.07.2006 17:25 546'304 hhctrl.ocx
13.07.2006 15:34 8'494'592 shell32.dll
05.07.2006 12:55 1'057'792 kernel32.dll
26.06.2006 19:40 148'480 dnsapi.dll
26.06.2006 19:40 8'192 rasadhlp.dll
23.06.2006 13:25 1'497'088 shdocvw.dll
23.06.2006 13:25 670'208 wininet.dll
23.06.2006 13:25 474'624 shlwapi.dll
23.06.2006 13:25 251'904 iepeers.dll
23.06.2006 13:25 146'432 msrating.dll
23.06.2006 13:25 96'768 inseng.dll
23.06.2006 13:25 205'312 dxtrans.dll
23.06.2006 13:25 357'888 dxtmsft.dll
23.06.2006 13:25 448'512 mshtmled.dll
23.06.2006 13:25 532'480 mstime.dll
23.06.2006 13:25 39'424 pngfilt.dll
23.06.2006 13:25 15'872 jsproxy.dll
23.06.2006 13:25 55'808 extmgr.dll
23.06.2006 13:25 152'064 cdfview.dll
23.06.2006 13:25 1'022'976 browseui.dll
23.06.2006 13:25 1'056'256 danim.dll
23.06.2006 11:09 104'960 xpsp3res.dll
19.06.2006 16:20 702'768 WgaLogon.dll
19.06.2006 16:19 571'184 LegitCheckControl.dll
19.06.2006 16:19 304'944 WgaTray.exe
15.06.2006 20:18 57'384 avsda.dll
01.06.2006 20:47 27'648 jgpl400.dll
01.06.2006 20:47 163'840 jgdw400.dll


Datentr„ger in Laufwerk C: ist RCAL01
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS

08.09.2006 15:54 0 0.log
08.09.2006 15:54 1'908'741 WindowsUpdate.log
08.09.2006 15:54 157 wiadebug.log
08.09.2006 15:54 50 wiaservc.log
08.09.2006 15:54 2'048 bootstat.dat
08.09.2006 13:35 32'550 SchedLgU.Txt
03.09.2006 19:30 49 NeroDigital.ini
24.08.2006 20:42 2'560 _MSRSTRT.EXE
22.08.2006 17:58 973 GEARInstall.log
22.08.2006 17:58 956'146 setupapi.log
16.08.2006 21:56 78'526 wmsetup.log
16.08.2006 21:53 316'640 WMSysPr9.prx
15.08.2006 20:39 218'903 setupact.log
15.08.2006 20:08 86 KE.log
14.08.2006 11:13 77'820 iis6.log
14.08.2006 11:13 171'655 comsetup.log
14.08.2006 11:13 102'408 ntdtcsetup.log
14.08.2006 11:13 26'877 ocmsn.log
14.08.2006 11:13 190'782 tsoc.log
14.08.2006 11:13 1'374 imsins.log
14.08.2006 11:13 13'219 KB920214.log
14.08.2006 11:13 24'355 msgsocm.log
14.08.2006 11:13 236'301 ocgen.log
14.08.2006 11:13 481'472 FaxSetup.log
14.08.2006 11:13 1'374 imsins.BAK
14.08.2006 11:13 13'139 KB922616.log
14.08.2006 11:13 31'195 updspapi.log
14.08.2006 11:13 16'904 KB921398.log
12.08.2006 10:36 35'714 KB918899.log
12.08.2006 10:33 13'079 KB920670.log
12.08.2006 10:33 13'241 KB917422.log
12.08.2006 10:33 13'498 KB920683.log
10.08.2006 11:18 12'270 KB921883.log
03.08.2006 21:45 700 cdplayer.ini
23.07.2006 20:48 0 hpqEmlSz.INI
23.07.2006 20:18 227 HP_CounterReport_Update_HPSU.ini
23.07.2006 20:18 214 HP_48BitScanUpdatePatch.ini
23.07.2006 20:05 234 PrnHlpLogConfig.ini
23.07.2006 20:05 228 HP_ISRegionListUpdatelog_HPSU.ini
23.07.2006 20:04 214 HP_InstantSHareJPG.ini
23.07.2006 20:04 217 HP_IZClosingDiscErrorPatch.ini
23.07.2006 20:03 206 HPGdiPlus.ini
23.07.2006 20:01 221 HP_RedboxHprblog_HPSU.ini
23.07.2006 20:00 221 NCLogConfig.ini
22.07.2006 14:14 713 win.ini
21.07.2006 16:33 89'224 hpoins06.dat
19.07.2006 22:04 13'018 KB917159.log
19.07.2006 22:04 10'492 WgaNotify.log
19.07.2006 22:04 13'525 KB914388.log
19.07.2006 22:04 11'633 KB916595.log
17.06.2006 12:18 2'735 spupdsvc.log
17.06.2006 12:17 14'438 KB917734.log
17.06.2006 12:16 16'974 KB918439.log
17.06.2006 12:16 17'657 KB917344.log
17.06.2006 12:16 16'619 KB917953.log
17.06.2006 12:16 16'596 KB911280.log
17.06.2006 12:16 26'589 KB916281.log
17.06.2006 12:15 16'637 KB914389.log
16.06.2006 15:01 0 BBCAuto.INI


Datentr„ger in Laufwerk C: ist RCAL01
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\DOKUME~1\RCAL\LOKALE~1\Temp

08.09.2006 15:54 16'384 ~DFBB71.tmp
08.09.2006 15:54 114 STSB.tmp
08.09.2006 15:54 1'285 MAR9.tmp
08.09.2006 15:54 1'342 MAR8.tmp
08.09.2006 15:54 16'384 ~DF5916.tmp
08.09.2006 13:35 32'527 hpodvd09.log
07.09.2006 18:08 114 STS64.tmp
07.09.2006 18:04 48 _te5D.tmp
07.09.2006 18:04 30'558 _te5F.tmp
07.09.2006 18:04 0 _te60.tmp
07.09.2006 18:04 0 _te5E.tmp
06.09.2006 20:59 28 _te1B.tmp
06.09.2006 20:59 0 _te1E.tmp
06.09.2006 20:59 0 _te1C.tmp
06.09.2006 20:59 0 _te1D.tmp
06.09.2006 20:58 28 _te15.tmp
06.09.2006 20:58 0 _te16.tmp
06.09.2006 20:58 0 _te17.tmp
06.09.2006 20:58 0 _te18.tmp
06.09.2006 20:38 47'122 DIO11.tmp
06.09.2006 20:37 47'122 DIOF.tmp
06.09.2006 20:37 47'122 DIOE.tmp
06.09.2006 20:06 1'285 MAR7.tmp
06.09.2006 20:06 1'342 MAR6.tmp
04.09.2006 19:00 114 STS14.tmp
04.09.2006 18:08 47'122 DIOD.tmp
04.09.2006 18:07 47'122 DIOC.tmp
04.09.2006 18:07 47'122 DIOB.tmp
04.09.2006 17:59 1'285 MAR5.tmp
04.09.2006 17:59 1'342 MAR4.tmp
03.09.2006 19:30 114 STS1C.tmp
03.09.2006 18:59 0 em640216.htm
03.09.2006 18:43 47'122 DIO9.tmp
03.09.2006 18:43 47'122 DIO8.tmp
03.09.2006 18:43 47'122 DIO5.tmp
03.09.2006 18:43 1'285 MAR3.tmp
03.09.2006 18:43 1'342 MAR2.tmp
03.09.2006 18:23 47'122 DIO58.tmp
03.09.2006 18:23 117 STS56.tmp
03.09.2006 18:23 47'122 DIO54.tmp
03.09.2006 18:23 1'285 MAR53.tmp
03.09.2006 18:23 1'342 MAR52.tmp

Logfile of HijackThis v1.99.1
Scan saved at 15:57:39, on 08.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Gigaset DECT\gigaset-m34-usb\dlrblckr.exe
C:\Programme\Gigaset DECT\gigaset-m34-software\skypeclient.exe
C:\Programme\Gigaset DECT\gigaset-m34-software\messengerservice.exe
C:\Programme\Gigaset DECT\gigaset-m34-software\keymap.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Logitech\SetPoint\LBTWiz.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gigaset DECT\gigaset-m34-software\appsvr.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Basta Computing\ZMover\ZMover.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\SpeedProject\SpeedCommander 11\SpeedCommander.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\RCAL\LOKALE~1\Temp\SQZC.tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [dlrblckr.exe] "C:\Programme\Gigaset DECT\gigaset-m34-usb\dlrblckr.exe"
O4 - HKLM\..\Run: [skypeclient.exe] "C:\Programme\Gigaset DECT\gigaset-m34-software\skypeclient.exe"
O4 - HKLM\..\Run: [messengerservice.exe] "C:\Programme\Gigaset DECT\gigaset-m34-software\messengerservice.exe"
O4 - HKLM\..\Run: [keymap.exe] "C:\Programme\Gigaset DECT\gigaset-m34-software\keymap.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SpySpotter] C:\Programme\SpySpotter3\SpySpotter.exe -startup
O4 - HKCU\..\Run: [SpySpotter System Defender] C:\Programme\SpySpotter3\Defender.exe -startup
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: ZMover.lnk = C:\Programme\Basta Computing\ZMover\ZMover.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: LBTWlgn - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

#19 RCAL

**
Sophos
aktuellste Virendefinitionsdateien
1.) IDEs für SAV Version .... 2006 (4.04) Aktuelle Web-Version
Aktuelle CD und Web-Version Download Zip Download Exe 121
http://www.sophos.de/downloads/ide/
2.) http://www.sophos.de/tools/sav32sfx.exe
3.) gehe in C:\
4.) klicke SAV32CLI

**
in den logs kann ich nichts ehen, du musst den scanreport vom antivirus hier posten, oder wenigstens den Teil , wo der Virenpfad angegeben wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Hallo Sabina

Besten Dank für Deine Antwort. Nachfolgend sende ich Dir den AntiVir-Log nach Prüfung des Windows-Systemverzeichnisses. SAV32CLI ist gelaufen, doch ist mir nicht klar, was ich damit hätte machen sollen resp. was mir dieser Vorgang hätte liefern sollen.

Noch wichtig zu sagen ist, dass ich das File, welches AntiVir heute nachmittag Worm-behaftet gemeldet hat, gleich in Quarantäne geschickt und anschliessend gelöscht habe. Leider kann ich Dir Pfad und Dateiname nicht genau nennen. Doch es handelte sich um irgend eine Volume-Information-Datei.

Was sollte ich denn Deiner Meinung nach noch tun?

Freundliche Grüsse, Ralph

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 8. September 2006 23:15

Es wird nach 500244 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: RCAL
Computername: RCAL01

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 12.02.2006 12:22:53
AVSCAN.DLL : 7.0.0.42 57384 12.02.2006 12:22:53
LUKE.DLL : 7.0.0.42 118824 12.02.2006 12:22:53
LUKERES.DLL : 7.0.0.42 32808 12.02.2006 12:22:53
ANTIVIR0.VDF : 6.35.0.1 7371264 12.02.2006 12:22:52
ANTIVIR1.VDF : 6.35.1.122 1270784 12.02.2006 12:22:52
ANTIVIR2.VDF : 6.35.1.200 237056 12.02.2006 12:22:52
ANTIVIR3.VDF : 6.35.1.205 13824 12.02.2006 12:22:52
AVEWIN32.DLL : 7.1.1.16 1835520 12.02.2006 12:22:52
AVPREF.DLL : 7.0.0.1 53288 12.02.2006 12:22:53
AVREP.DLL : 6.35.1.191 794664 12.02.2006 12:22:53
AVRPBASE.DLL : 7.0.0.0 2162728 06.05.2006 21:43:46
AVPACK32.DLL : 7.1.0.1 335912 12.02.2006 12:22:53
AVREG.DLL : 6.31.0.90 27688 12.02.2006 12:22:53
NETNT.DLL : 6.32.0.0 6696 12.02.2006 12:22:53
NETNW.DLL : 6.32.0.0 9768 12.02.2006 12:22:53
RCIMAGE.DLL : 7.0.0.71 1642536 12.02.2006 12:22:53
RCTEXT.DLL : 7.0.0.75 77864 12.02.2006 12:22:53

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Windows Systemverzeichnis
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\sysdir.avp
Bootsektoren..................: C
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Freitag, 8. September 2006 23:15


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 78 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 59 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 8. September 2006 23:21
Benötigte Zeit: 05:33 min

Der Suchlauf wurde vollständig durchgeführt.

269 Verzeichnisse wurden überprüft
5668 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
8 Archive wurden durchsucht
10 Warnungen
0 Hinweise

#21 von Punkt 1 bis 4 erklaert

Zitat

1.) IDEs für SAV Version .... 2006 (4.04) Aktuelle Web-Version
Aktuelle CD und Web-Version Download Zip Download Exe 121
http://www.sophos.de/downloads/ide/
2.) http://www.sophos.de/tools/sav32sfx.exe
3.) gehe in C:\
4.) klicke SAV32CLI

-------------------------------------

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Auf der IDE-Web-Site von Sophos sehe ich nur die Versionen 4.07-4.09 und noch zusätzlich die 10 aktuellsten IDEs. Muss ich alle IDEs downloaden oder nur 4.09 (September)? So wie ich's verstehe reicht die Neuste (4.09). Untenstehend poste ich Dir die Resultate von SAV32CLI.

Danach habe ich die Systemwiederherstellung aus- und wieder eingeschaltet.

Ich hoffe, dass ich alles richtig gemacht habe. Was meinst Du, ist mein System wieder "sauber"?

Erst mal vielen Dank für Deine Hilfe und freundliche Grüsse
Ralph

************************************

Hier die Resultate von SAV32CLI:

C:\SAV32CLI>sav32cli
Sophos Anti-Virus
Version 4.09.0 [Win32/Intel]
Virus data version 4.09, September 2006
Includes detection for 187725 viruses, trojans and worms
Copyright (c) 1989-2006 Sophos Plc, www.sophos.com

System time 10:09:05, System date 09 September 2006

IDE directory is: C:\SAV32CLI

Using IDE file ircbo-pf.ide
Using IDE file dloa-alc.ide
Using IDE file banc-atd.ide
...
...
...
Using IDE file dos-ag.ide
Using IDE file ds060908.ide
Using IDE file agen-cry.ide

Quick Scanning

Password protected file C:\Dokumente und Einstellungen\RCAL\Anwendungsdaten\Adob
e\Acrobat\7.0\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file C:\Dokumente und Einstellungen\RCAL\Anwendungsdaten\Adob
e\Acrobat\7.0\Messages\DEU\read0700win_DEUadbe0700.pdf
Could not open C:\hiberfil.sys
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMs
gDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0
600win_DEUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMs
gENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0
600win_ENUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSpl
ash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearc
hENU.pdf

1 boot sector swept.
26283 files swept in 12 minutes and 50 seconds.
9 errors were encountered.
No viruses were discovered.
8 encrypted files were not checked.
Ending Sophos Anti-Virus.

#23 RCAL

es ist alles wieder o.k. ...wenn es noch Probleme geben sollte, melde dich wieder
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Ich ahbe auch eine worm aufem com weis auch nicht was ich machen soll bitte helft mir schnell. Sag mir was ich machen soll. bitte


Logfile of HijackThis v1.99.1
Scan saved at 18:37:26, on 28.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\msk.exe
C:\WINDOWS\xdr32.exe
C:\WINDOWS\scvhost.exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programme\CleanUp!\Cleanup.exe
C:\DOKUME~1\Carina\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = Berufswahlinfo
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.DLL
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.DLL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\5.bin\MWSBAR.DLL
O2 - BHO: trafficninja.biz extension - {266A3562-AB67-480E-9F09-D54604FD817B} - C:\WINDOWS\system32\ninjaext.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Rotator - {BDD8121B-D4AE-4ac9-AD54-C8DC3F1155E6} - C:\WINDOWS\system32\cpmrotate.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\5.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe
O4 - HKLM\..\Run: [NI.UERSU_0001_N86M1007] "C:\Dokumente und Einstellungen\Carina\Desktop\ErrorSafeScannerInstall_de.exe" -nag
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S10E.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\Liveupdate.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [adstart] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\cpmrotate.dll" DllVerify
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SecureWeb] C:\WINDOWS\system32\7VxicUXK.exe
O4 - HKLM\..\Run: [msk.exe] C:\WINDOWS\msk.exe s
O4 - HKLM\..\Run: [xdr] C:\WINDOWS\xdr32.exe s
O4 - HKLM\..\Run: [msnmsgr.exe] C:\WINDOWS\msnmsgr.exe -s
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZC
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: mshtmsdt.dll e1.dll e0xl9pvsp2.dll
O20 - Winlogon Notify: msprwinn - C:\WINDOWS\system32\msprwinn.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe