WORM/RBot.138240.1 löschen ohne Datenverlust?

#0
04.03.2006, 12:57
...neu hier

Beiträge: 5
#1 hallo. hab oben genannte malware schon xmal von antivir ins bild geklatscht bekommen, konnte ihn aber noch nie löschen. HJT-log...

Logfile of HijackThis v1.99.1
Scan saved at 12:35:17, on 04.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOOF\System32\smss.exe
C:\WINDOOF\system32\csrss.exe
C:\WINDOOF\system32\winlogon.exe
C:\WINDOOF\system32\services.exe
C:\WINDOOF\system32\lsass.exe
C:\WINDOOF\System32\Ati2evxx.exe
C:\WINDOOF\system32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\system32\Ati2evxx.exe
C:\WINDOOF\Explorer.EXE
C:\WINDOOF\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOOF\System32\RunDll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\tools - installer\myConn.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
D:\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\uargh\Desktop\Stefan unordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOOF\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Life Personal Firewall] FirewallingV10.exe
O4 - HKLM\..\Run: [Personal Firewall V9] Firewall-UpdateV9.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOOF\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Audio System] Sound.exe
O4 - HKLM\..\RunServices: [Life Personal Firewall] FirewallingV10.exe
O4 - HKLM\..\RunServices: [Personal Firewall V9] Firewall-UpdateV9.exe
O4 - HKLM\..\RunServices: [Audio System] Sound.exe
O4 - HKCU\..\Run: [Life Personal Firewall] FirewallingV10.exe

O4 - HKCU\..\Run: [myConn] D:\tools - installer\myConn.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{538A4C11-DF7B-478F-A3CA-E6600585AB1F}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOOF\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOOF\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RPC32 Locator (RPC32) - Unknown owner - C:\WINDOOF\system32\wusys\fts\fs\sys.bat (file missing)


bevor oben genannter worm auftauchte, kam auch mehrmals eine antivirmeldung mit c:\WINDOOF\system32\sound.exe
--> was ist das?


in der zwischenzeit hab ich antivir nochmal durchlaufen lassen, und da zeigt er mir jetzt noch mehr gemeine sachen:
BDS/Iroffer.M.1
BDS/Iroffer.13b11


ich hoffe auf eure hilfe, danke.


...
hab mittlerweile noch nen HJT-log gemacht...


Logfile of HijackThis v1.99.1
Scan saved at 13:33:32, on 04.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOOF\System32\smss.exe
C:\WINDOOF\system32\csrss.exe
C:\WINDOOF\system32\winlogon.exe
C:\WINDOOF\system32\services.exe
C:\WINDOOF\system32\lsass.exe
C:\WINDOOF\System32\Ati2evxx.exe
C:\WINDOOF\system32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\system32\Ati2evxx.exe
C:\WINDOOF\Explorer.EXE
C:\WINDOOF\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOOF\System32\RunDll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\tools - installer\myConn.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
D:\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\uargh\Desktop\Stefan unordner\HijackThis.exe
C:\Programme\ICQLite\ICQLite.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOOF\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Life Personal Firewall] FirewallingV10.exe
O4 - HKLM\..\Run: [Personal Firewall V9] Firewall-UpdateV9.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOOF\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Audio System] Sound.exe
O4 - HKLM\..\RunServices: [Life Personal Firewall] FirewallingV10.exe
O4 - HKLM\..\RunServices: [Personal Firewall V9] Firewall-UpdateV9.exe
O4 - HKLM\..\RunServices: [Audio System] Sound.exe
O4 - HKCU\..\Run: [Life Personal Firewall] FirewallingV10.exe

O4 - HKCU\..\Run: [myConn] D:\tools - installer\myConn.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{538A4C11-DF7B-478F-A3CA-E6600585AB1F}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOOF\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOOF\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RPC32 Locator (RPC32) - Unknown owner - C:\WINDOOF\system32\wusys\fts\fs\sys.bat (file missing)

aktuellste antivir-meldung: W32/Stanit...ist mir sowie euch bekannt, nehme ich mal an...


okay, antivir ist fertig. der log, hier.




Erstellungsdatum der Reportdatei: Samstag, 4. März 2006 12:00


Job Name: 'Lokale Festplatten'

Es wird nach 325317 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: ********************
Plattform: Windows XP
Windowsversion: () [5.1.2600]
Benutzername: ******
Computername: ***

Versionsinformationen:
AVSCAN.EXE : 7.0.0.21 528424 07.02.2006 21:13:52
AVSCAN.DLL : 7.0.0.21 46632 07.02.2006 21:13:51
LUKE.DLL : 7.0.0.21 114728 07.02.2006 21:13:52
LUKERES.DLL : 7.0.0.21 28200 07.02.2006 21:13:52
ANTIVIR0.VDF : 6.32.0.60 4323840 06.12.2005 10:47:34
ANTIVIR1.VDF : 6.33.0.207 1160192 07.02.2006 07:51:55
ANTIVIR2.VDF : 6.33.1.52 245760 03.03.2006 10:25:17
ANTIVIR3.VDF : 6.33.1.61 27648 03.03.2006 17:33:50
AVEWIN32.DLL : 6.33.0.38 1163776 02.03.2006 13:24:13
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:54
AVREP.DLL : 6.33.1.45 2416680 02.03.2006 13:24:13
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:38
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:48


Beginn des Suchlaufs: Samstag, 4. März 2006 12:00

C:\WINDOOF\System32\Sound.exe
[FUND] Enthält Signatur des Wurmes WORM/RBot.138240.1
C:\WINDOOF\System32\Sound.exe
[FUND] Enthält Signatur des Wurmes WORM/RBot.138240.1
[INFO] Die Datei wurde gelöscht.

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:'
[HINWEIS] Es wurde kein Virus gefunden!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.


Die Registry wurde durchsucht ( 46 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\uargh\limix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> ccproxy.exe
[FUND] Enthält Signatur des Wurmes WORM/VBS.Polsev.A.2
--> crss.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Iroffer.13b11
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\uargh\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\uargh\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\uargh\Anwendungsdaten\Mozilla\Firefox\Profiles\y86wpa9h.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\uargh\Desktop\benny-desktop-schrott\osthoff.doc
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\uargh\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\uargh\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\uargh\Lokale Einstellungen\Temp\Perflib_Perfdata_630.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{8A509676-9448-4A80-85A9-8983F6012687}\RP29\A0024543.exe
[0] Archivtyp: RAR SFX (self extracting)
--> ccproxy.exe
[FUND] Enthält Signatur des Wurmes WORM/VBS.Polsev.A.2
--> crss.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Iroffer.13b11
[INFO] Die Datei wurde gelöscht.
C:\WINDOOF\system32\nxdccz.exe
[0] Archivtyp: RAR SFX (self extracting)
--> sis.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Iroffer.M.1
[INFO] Die Datei wurde gelöscht.
C:\WINDOOF\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOOF\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOOF\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOOF\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOOF\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOOF\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOOF\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOOF\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOOF\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOOF\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOOF\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H8P2F1RE\nxdccz[1].exe
[0] Archivtyp: RAR SFX (self extracting)
--> sis.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Iroffer.M.1
[INFO] Die Datei wurde gelöscht.
C:\WINDOOF\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\filme und serien\Black_Books_-_Deleted Scenes.avi
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\filme und serien\Coupling.3x01 - Split.avi
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\filme und serien\Coupling.3x02 - Faithless.avi
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\filme und serien\Coupling.3x03 - Unconditional Sex.avi
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\filme und serien\Coupling.3x04 - Remember This.avi
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\filme und serien\Coupling.3x07 - Perhaps, perhaps, perhaps.avi
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\found.000\docs\deutsch werdeanzeigenbeispiel.doc
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\found.000\docs\schulaufgabenstoff chemie.doc
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\found.000\filme\bones brigade - ban this!.chk
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\found.000\filme\donnie darko.chk
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\found.000\filme\piratensender powerplay.mpg
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\found.000\mp3\curse.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\found.000\mp3\komisches lied.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\01-va-cd1_mixed_by_ben_sowton-mpx.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\VA - Bargrooves - Later-Music for night people - Vol. 8.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\VA - Bargrooves - Vol. 2 - On the house (2002).mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 01 - Ich liebe dich.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 02 - Peking.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 03 - Zwischenlandung.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 04 - Ich war ein Nilpferd.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 05 - Der Mensch muss auf den Mars.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 06 - Das ewige Lied.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 07 - Vamos.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 08 - Bayern.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 09 - Die Tänzerin.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 10 - Die Fischverkäuferin.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 11 - Das Mädchen aus Toledo.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 12 - Traumzeit.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 13 - Linie _Gelber Pfeil_.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 14 - Der private Kellermeister.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 15 - Die Wolfaustreiber.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\incoming\haindling\Haindling - Zwischenlandung - 16 - Aufbruch.mp3
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\System Volume Information\_restore{D2019726-FF34-42F1-8A67-253595C06D94}\RP188\A0117018.exe
[FUND] Enthält Signatur des Windows-Virus W32/Stanit
[INFO] Die Datei wurde gelöscht.
D:\System Volume Information\_restore{D2019726-FF34-42F1-8A67-253595C06D94}\RP188\A0117019.exe
[FUND] Enthält Signatur des Windows-Virus W32/Stanit
[INFO] Die Datei wurde gelöscht.


Ende des Suchlaufs: Samstag, 4. März 2006 13:52
Benötigte Zeit: 1:52:54 min

Der Suchlauf wurde vollständig durchgeführt.

7163 Verzeichnisse wurden überprüft
288467 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
7 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2777 Archive wurden durchsucht
119 Warnungen
2 Hinweise


wundert euch nicht darüber, dass soviele dateien nicht geöffnet werden konnten, das ist ne längere geschichte, in der n billiglinux, sp2 und mein bruder ne rolle spielen..oO mittlerweile lassen sich aber die meisten wieder öffnen.
Dieser Beitrag wurde am 04.03.2006 um 14:06 Uhr von kasbollen editiert.
Seitenanfang Seitenende
04.03.2006, 16:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 hier ist nicht mehr viel zu machen..und es lohnt auch nicht, einen PC ohne alle WindowsUpdates mit backdoors und Rootkits reinigen zu wollen.
Formatiere und vergiss nicht die WindowsUpdates...dann komme wieder.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.03.2006, 19:52
...neu hier

Themenstarter

Beiträge: 5
#3 nagut...werd mal sehn was sich machen lässt...
Seitenanfang Seitenende
26.03.2006, 13:02
...neu hier

Themenstarter

Beiträge: 5
#4 also trotz allem hab ich jetzt doch noch nichts unternommen, hier ein weiteres hjt-log:


Logfile of HijackThis v1.99.1
Scan saved at 12:59:34, on 26.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOOF\System32\smss.exe
C:\WINDOOF\system32\winlogon.exe
C:\WINDOOF\system32\services.exe
C:\WINDOOF\system32\lsass.exe
C:\WINDOOF\System32\Ati2evxx.exe
C:\WINDOOF\system32\svchost.exe
C:\WINDOOF\System32\svchost.exe
C:\WINDOOF\system32\Ati2evxx.exe
C:\WINDOOF\Explorer.EXE
C:\WINDOOF\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\tools - installer\myConn.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Dokumente und Einstellungen\uargh\Desktop\Stefan unordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RegServer] regserve.exe
O4 - HKLM\..\Run: [XGIWatchDog] XWatDog.exe
O4 - HKCU\..\Run: [myConn] D:\tools - installer\myConn.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOOF\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOOF\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RPC32 Locator (RPC32) - Unknown owner - C:\WINDOOF\system32\wusys\fts\fs\sys.bat (file missing)


den letzten eintrag (..file missing) konnte selbst der hjt nicht entfernen/reparieren. wie siehts sonst denn mit malware aus?

wegen den windows updates, das nehm ich demnächst wahrscheinlich in angriff, hab derzeit n paar hardwareprobleme..
Seitenanfang Seitenende
26.03.2006, 14:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 wie gesagt, da ist der Stanit drauf, Backdoors, Wareout und und und... formatiere, der Rechner ist kompromitiert....
Und ich reinige keine PCs, die noch nie ein WindowsUpdates gesehen haben.
Zumal eine Reinigung hier aussichtslos ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.04.2006, 12:43
...neu hier

Themenstarter

Beiträge: 5
#6 ..hab da noch ne ziemliche wissenslücke: wie siehts aber dann aus mit windows-updates und illegalerweise gezogenen files ? beißt sich das nicht? also ich mein, gehe ich dann ein risiko ein?
Seitenanfang Seitenende
02.04.2006, 13:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 wenn du ein legales XP hast, was ich sehr hoffe, dann kannst du SP2 laden, der Rest interessiert nicht.
Damit Windows nicht "nach Hause telefoniert"-->
http://virus-protect.org/xpantispy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2006, 11:05
...neu hier

Themenstarter

Beiträge: 5
#8 xp ist legal und original. da dürfte es keine probleme geben.

xp antispy läuft, seit das system aufgesetzt ist ;-) sp2, okay. mach ich.

kannst du mir vielleicht bei xp antispy sagen, welche einstellungen wichtig sind, oder ob ich da n logfile mit den einstellungen posten kann oder so?
und, wie ist das mit den antiviren-tools und den ganzen sachen, was ist da gut, was weniger effektiv und was sollte da standart sein? ich hab antivir und ad-aware se personal. reicht das? und wie siehts mit firewalls aus?

entschuldige die vielen fragen, aber dafür ist dieses forum ja gemacht nicht? ;-)
danke.
Dieser Beitrag wurde am 08.04.2006 um 11:09 Uhr von kasbollen editiert.
Seitenanfang Seitenende
08.04.2006, 16:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 hier findest du das wichtigste:
http://virus-protect.org/nachneuinst.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: