Home » Viren, Trojaner & Malware Forum » TR/Drop.Banker.II.7 und TR/PWS.Banker.II.7 wie werd ich sie los für Anfänger » Themenansicht
TR/Drop.Banker.II.7 und TR/PWS.Banker.II.7 wie werd ich sie los für Anfänger |
||
|---|---|---|
| #0
| ||
|
20.03.2006, 04:53
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
20.03.2006, 14:59
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo oderg
ich schaue mal nach  1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Hijackthis http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.03.2006, 21:49
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina,
vielen Dank für Deine schnelle Antwort. Habe mich sehr darüber gefreut. Nachdem ich mir die ganze letzte Nacht wegen des Sachverhalts um die Ohren gehauen habe, musste ich erst mal etwas abruhen und Abstand gewinnen. Habe versucht alles auszuführen. Habe Clean Up schon mehrfach durchgeführt, aber nach jedem Systemstart meldet AntiVir wieder die gleichen Trojaner. Habe Clean Up gestartet -> 1 Datei gelöscht, dann kamen mir aber Bedenken und ich habe die Dateien aus der AntiVir-Quarantäne wiederhergestellt, weil ich Angst hatte, dass Clean Up sonst nicht auf die Dateien zugreifen kann. Hoffentlich war das kein Fehler. Nach ersten Neustart 24 Dateien gelöscht, nach nächsten Neustart 16 Datein, nach nächstem Start ignoriert und die datfind.bat ausgeführt. Folgende Daten ab 1.1.06: SYSTEM32 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\WINDOWS\system32 20.03.2006 20:56 32.043 MMSVC32.exe 20.03.2006 20:56 32.043 mmf32.exe 20.03.2006 20:56 214.745 bbot.exe 19.03.2006 21:52 2.206 wpa.dbl 21.02.2006 03:12 0 mmsvc32.clk 15.02.2006 11:47 0 TFTP53944 15.02.2006 11:37 74 i 15.02.2006 11:28 62 mdn.cpp 15.02.2006 11:23 28 xbccd.log 15.02.2006 11:23 214.745 spools.exe 15.02.2006 11:21 0 bbot.exe.chech 18.01.2006 13:05 57.344 avsda.dll 06.01.2006 15:57 182.632 FNTCACHE.DAT SYSTEMTEMP Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\DOKUME~1\Gabriele\LOKALE~1\Temp 20.03.2006 21:06 512 ~DFEF3D.tmp 20.03.2006 21:06 0 offE.tmp 20.03.2006 21:05 512 ~DFC458.tmp 20.03.2006 21:03 46.713 DIOD.tmp 20.03.2006 21:03 46.713 DIOC.tmp 5 Datei(en) 94.450 Bytes 0 Verzeichnis(se), 75.503.919.104 Bytes frei SYSTEM Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\WINDOWS 20.03.2006 21:03 184.230 WindowsUpdate.log 20.03.2006 21:00 159 wiadebug.log 20.03.2006 21:00 50 wiaservc.log 20.03.2006 21:00 0 0.log 20.03.2006 20:59 2.048 bootstat.dat 20.03.2006 20:59 18.718 SchedLgU.Txt 20.03.2006 20:54 15.754 ModemLog_Smart Link 56K Modem.txt 20.03.2006 01:03 411.353 setupapi.log 17.03.2006 18:39 351 mahjongg.cfg 17.03.2006 18:39 83 winhelp.ini 17.03.2006 18:39 1.408 win.ini 20.02.2006 22:53 181.463 DirectX.log 06.01.2006 19:23 120.741 wmsetup.log 06.01.2006 15:53 400 ODBC.INI 06.01.2006 15:53 4.335 ODBCINST.INI SYS Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\ 20.03.2006 21:10 0 sys.txt 20.03.2006 21:09 4.791 system.txt 20.03.2006 21:08 482 systemtemp.txt 20.03.2006 21:04 90.149 system32.txt 20.03.2006 20:59 805.306.368 pagefile.sys 13.07.2005 14:22 285 NBDriver.ini 10.05.2005 18:20 267 o2micro.cfg 10.05.2005 18:20 0 QKeys.ini 10.05.2005 14:06 0 AUTOEXEC.BAT 10.05.2005 14:06 0 CONFIG.SYS 10.05.2005 14:06 0 MSDOS.SYS 10.05.2005 14:06 0 IO.SYS 10.05.2005 14:00 194 boot.ini 11.08.2003 04:23 1.331.200 NBDriver.exe 29.08.2002 13:00 4.952 bootfont.bin 29.08.2002 13:00 47.580 NTDETECT.COM 29.08.2002 13:00 235.296 ntldr 05.09.2001 21:00 1.700.352 gdiplus.dll 18 Datei(en) 808.721.916 Bytes 0 Verzeichnis(se), 75.503.996.928 Bytes frei Habe bei Ausführung von HIJACKTHIS etwas geschwitzt, habe aber hoffentlich trotzdem richtig gemacht. Habe den Button SAVE gesucht und nicht gefunden. Anhand der Internetseite habe ich mir zusammengereimt, dass das ein Freudscher Fehler gewesen sein kann und wohl eigentlich SCAN heissen sollte. HIJACKTHIS.LOG Logfile of HijackThis v1.99.1 Scan saved at 21:30:25, on 20.03.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\QKeys\QKeys.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Cyberlink\PowerCinema\PCMService.exe C:\WINDOWS\System32\mmsvc32.exe C:\WINDOWS\System32\spools.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\slrundll.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG09.exe C:\Dokumente und Einstellungen\Gabriele\Eigene Dateien\_Gegenwehr\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free-av.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\Jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Cyberlink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: GMX SmartSurfer.lnk = C:\Programme\GMX\SmartSurfer\SmartSurfer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14d04bf2709ea9405f17/netzip/RdxIE601_de.cab O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.com/de/files/rfscanax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F3FBDE99-AD2F-462D-ADD0-C2ACA8CBED5F}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Hätte ich die Dateien statt wiederherzustellen einfach mal löschen sollen? Hoffentlich habe ich Dir nicht noch mehr Arbeit als notwendig gemacht. Was hat das CleanUp übrigens gemacht, kann ich es auch für andere Notfälle benutzen? Für welche? Oder gibt es irgendwo eine deutsche Anleitung dafür? Vielen Dank im Voraus! oderg |
|
|
|
|
|
|
20.03.2006, 23:47
Ehrenmitglied
Beiträge: 29434 |
#4
oderg
- tzz tzz ...ein PC ohne WindowsUpdates...............  - CleanUp loescht die temporaeren Dateien Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:klicke die "gruene Ampel" das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe PC neustarten 1. poste den scanreport vom avenger (das ist wichtig! ) 2. multiavtool. http://virus-protect.org/multiavtool.html * klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ * klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.03.2006, 04:30
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo Sabina,
der Seitenhieb wegen der fehlenden Updates sitzt. Habe inzwischen SP2 besorgt und einen Blick in die KB von Windows geworfen. Aber welche benötige ich wirklich?? Grosse Updates kann ich leider nicht übers Netz laden. Bisher haben mich immer die "Nebeneffekte" oder Warnhinweise oder auch einfach nur die englischsprachigen Anleitungen abgehalten. Ich dachte bisher, dass ich mit meinem AntiVir-Programm ausreichend geschützt bin, zumal dieses auch oft gelobt wird. Nun zu meinen "Erfolgen": Habe wieder mächtig geschwitzt, denn ich wusste nicht, dass bei der Eingabe "3" im MULTIAVTOOL eine Internetverbindung vorhanden sein muss. Diese hatte ich erst nicht und erhielt deshalb folgende Meldung: C:\AV-CLS\McAfee\update.ini not opened for READ, error code: [0] Die Datei gab es nicht, nur das Verzeichnis war schreibgeschützt. Also habe ich dies erst geändert. 2. Versuch -> gleiche Meldung Dann legte ich sie an, wurde sie wieder gelöscht. -> gleiche Meldung Dann bemerkte ich, dass im Programmfenster ganz oben folgende Info angezeigt wird: Wget ftp://ftp.nai.speedera.net/pub/antivirus/datfiles/4.x/update.ini ftp war mit als Datenzugriff ins Internet bekannt, also habe ich eine Verbindung hergestellt und nun kam die Fehlermeldung nicht mehr, sondern es wurden Dateien heruntergeladen. Das dauerte ungefähr 45 min. Dann konnte ich das Verzeichnis c:\Windows\system32 scannen lassen. Nach Erstellung des Scanreports wurde der Programmteil beendet und ich musste zum Scan des nächsten Verzeichnisses wieder die "3" auswählen. Nun dachte ich, dass alles schneller geht, aber getäuscht. Die Dateien wurden erneut heruntergeladen. Da dies für jedes zu scannende Verzeichnis ca. 45 min. dauert, habe ich beim zweiten scan gleich c: angegeben. Mein erster Blick sagt mir, dass dabei ein paar Dateien von meinem Programm zum besseren Herunterladen von Dateien "FLASHGET" wohl gelöscht wurden, oder nicht?? Ich hoffe, dass das Programm noch lauffähig ist, habe ich bis jetzt noch nicht probiert. Nun aber meine Ergebnisse: Von AVENGER habe ich keinen Scanreprt, nur eine Meldung, dass die angegebenen Dateien gelöscht wurden. Aber von HijackThis habe ich einen Scanreport (nach dem Löschen der Einträge): Logfile of HijackThis v1.99.1 Scan saved at 21:30:25, on 20.03.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\QKeys\QKeys.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Cyberlink\PowerCinema\PCMService.exe C:\WINDOWS\System32\mmsvc32.exe C:\WINDOWS\System32\spools.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\slrundll.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG09.exe C:\Dokumente und Einstellungen\Gabriele\Eigene Dateien\_Gegenwehr\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free-av.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\Jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Cyberlink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: GMX SmartSurfer.lnk = C:\Programme\GMX\SmartSurfer\SmartSurfer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14d04bf2709ea9405f17/netzip/RdxIE601_de.cab O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.com/de/files/rfscanax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F3FBDE99-AD2F-462D-ADD0-C2ACA8CBED5F}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Hier nun die der Scanreport von c:\Windows\system32 Virus Scan Report FileVirus Scan Report File Virus Scan Information McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4722 created Mar 20 2006 Scanning for 183012 viruses, trojans and variants. Virus Scan Results 03/21/2006 02:01:28 Options: "C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [] Scanning C:\WINDOWS\SYSTEM32\*.* Summary report on C:\WINDOWS\SYSTEM32\*.* File(s) Total files: ........... 7261 Clean: ................. 7251 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 1 Time: 00:04.54 Nun von ganz C: (wg. der Zeitersparnis): Virus Scan Report FileVirus Scan Report File Virus Scan Information McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4722 created Mar 20 2006 Scanning for 183012 viruses, trojans and variants. Virus Scan Results 03/21/2006 02:53:04 Options: "C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [] Scanning C:\*.* C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FlashGet\FlashGet.lnk ... Found potentially unwanted program Adware-LNK.gen. The file or process has been deleted. C:\Dokumente und Einstellungen\Gabriele\Desktop\FlashGet.lnk ... Found potentially unwanted program Adware-LNK.gen. The file or process has been deleted. C:\Programme\FlashGet\Jccatch.dll ... Found potentially unwanted program Adware-FlashGet. C:\Programme\FlashGet\UninstallLib.exe\UninstallLib.exe ... Found potentially unwanted program Adware-FlashGet. The file or process has been deleted. C:\WINDOWS\tsad.dll ... Found potentially unwanted program Adware-TSADB. The file or process has been deleted. A file(s) requires a reboot to complete the repair. You are recommended to reboot the computer. Summary report on C:\*.* File(s) Total files: ........... 116322 Clean: ................. 116296 Possibly Infected: ..... 0 Cleaned: ............... 0 Deleted: ............... 4 Non-critical Error(s): 2 Master Boot Record(s): ......... 1 Possibly Infected: ..... 0 Boot Sector(s): ................ 1 Possibly Infected: ..... 0 Time: 00:29.30 Visit the McAfee Online Web Site Need some help or advice? Send email to Technical Support Habe ich alles richtig gemacht? Hätte ich die letzten Scans statt mit MULTIAVTOOL nicht mit meinem Antivierenprogramm ausführen können? Kannst Du mir bitte Übersetzen, was nun mit dem Programm FLASHGET ist? Unter Programme ist zwar das Verzeichnis noch vorhanden, aber kein Programm mehr, welches ich ausführen kann. Da muss ich es wohl noch einmal im Internet suchen. (Hoffentlich ist das dann sauber). Wie Du merkst, mir fehlen an allen Ecken und Enden die Englischkenntnisse. Deshalb bin ich so dankbar, dass ich dieses Forum gefunden habe und hier so selbstlose Leute helfen. Vor allem, zu welchen Tageszeiten Du die Antworten bereitstellst, ist schon erstaunlich. Ich hoffe, dass Dich meine Ausführungen nicht nerven. Ich denke mir jedoch, dass es vielleicht noch mehr Anfänger gibt, denen meine "Erfahrungen" weiterhelfen können. Vielen Dank für Deine Hilfe! oderg |
|
|
|
|
|
|
21.03.2006, 15:20
Ehrenmitglied
Beiträge: 29434 |
#6
oderg
ich traue dem Avenger nicht............denn die Prozesse sind weiterhin aktiv (siehe dein Log oben) KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\System32\XEE32.DLL C:\WINDOWS\System32\spools.exe C:\WINDOWS\system32\MMSVC32.exe C:\WINDOWS\system32\mmf32.exe C:\WINDOWS\system32\bbot.exe C:\WINDOWS\system32\mmsvc32.clk C:\WINDOWS\system32\TFTP53944 C:\WINDOWS\system32\i C:\WINDOWS\system32\mdn.cpp C:\WINDOWS\system32\xbccd.log C:\WINDOWS\system32\bbot.exe.chech PC neustarten...falls notwendig, starte du den PC neu öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\Jccatch.dll O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. poste den Bericht vom Avenger... dieser der sagt...dass...geloescht wurde...usw. ich will ihn sehen... scanne mit Kaspersky und poste den scanreport http://board.protecus.de/t8642.htm ---------------------------------------------------------------------- W32/Kassbot-E http://www.sophos.de/virusinfo/analyses/w32kassbote.html * Ermöglicht Dritten den Zugriff auf den Computer * Verändert Daten auf dem Computer * Stiehlt Daten * Legt Malware ab * Fälscht die E-Mail-Adresse des Senders W32/Kassbot-E überwacht den Internetzugriff des Anwenders. Wenn bestimmte Banken- und Finanz-Websites besucht werden, leitet der Wurm den Anwender auf eine russische Website mit gefälschten Anmeldeseiten um oder sendet die gestohlenen Daten an eine russische E-Mail-Adresse. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.03.2006, 21:50
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Sabina,
ich bin langsam am Durchdrehen, ich hoffe, Du nicht. 1. Avenger muss wohl beim ersten Mal doch nicht geklappt habe, habe nämlich nach langem Suchen eine Error.log gefunden mit folgendem Inhalt: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Error: selected file does not appear to be a valid script. Error code: 0 Ich habe aber alles genau abgeschrieben, siehe hier: Files to delete: C:\WINDOWS\system32\MMSVC32.exe C:\WINDOWS\system32\mmf32.exe C:\WINDOWS\system32\bbot.exe C:\WINDOWS\system32\mmsvc32.clk C:\WINDOWS\system32\TFTP53944 C:\WINDOWS\system32\i C:\WINDOWS\system32\mdn.cpp C:\WINDOWS\system32\xbccd.log C:\WINDOWS\system32\spools.exe C:\WINDOWS\system32\bbot.exe.chech Ich hielt wohl diese Anzeige für die Bestätigung des Löschens. Wenn ich mich genau erinnere, habe ich Dateien gelöscht, als von AntiVir die Info über den TR kam. Bzw. habe ich die Dateien aus der Quarantäne gelöscht. In HijackThis habe ich die folgenden Einträge nicht mehr gefunden: O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe Bei der Ausführung von: Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program habe ich nicht bemerkt, dass was passiert ist. Keine Erfolgsmeldung o.dgl. erhalten. Ich habe noch einmal Datfind ausgeführt. Vielleicht hilft das Dir weiter: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\WINDOWS\system32 19.03.2006 21:52 2.206 wpa.dbl 18.01.2006 13:05 57.344 avsda.dll 06.01.2006 15:57 182.632 FNTCACHE.DAT 15.12.2005 13:53 16.832 amcompat.tlb 15.12.2005 13:53 23.392 nscompat.tlb 29.11.2005 16:01 380.548 perfh009.dat 29.11.2005 16:01 52.962 perfc009.dat 29.11.2005 16:01 391.244 perfh007.dat 29.11.2005 16:01 63.778 perfc007.dat 29.11.2005 16:01 896.486 PerfStringBackup.INI 15.11.2005 09:38 176.167 rmoc3260.dll 17.10.2005 20:58 65.536 QuickTimeVR.qtx 17.10.2005 20:57 49.152 QuickTime.qts Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\DOKUME~1\Gabriele\LOKALE~1\Temp 21.03.2006 18:56 46.713 DIO14.tmp 1 Datei(en) 46.713 Bytes 0 Verzeichnis(se), 75.449.942.016 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\WINDOWS 21.03.2006 20:41 5.191 KB873339.log 21.03.2006 20:32 5.087 KB888113.log 21.03.2006 20:21 429.741 setupapi.log 21.03.2006 20:14 5.028 KB905495.log 21.03.2006 20:09 4.988 KB891781.log 21.03.2006 19:55 1.004.040 WindowsUpdate.log 21.03.2006 19:45 4.831 KB905414.log 21.03.2006 19:34 4.790 KB888302.log 21.03.2006 19:29 5.794 KB902400.log 21.03.2006 19:00 20.458 ModemLog_Smart Link 56K Modem.txt 21.03.2006 18:38 159 wiadebug.log 21.03.2006 18:38 50 wiaservc.log 21.03.2006 18:38 0 0.log 21.03.2006 18:38 2.048 bootstat.dat 21.03.2006 18:37 20.340 SchedLgU.Txt 21.03.2006 18:24 4.170 KB896423.log 21.03.2006 17:27 5.698 iis6.log 21.03.2006 17:27 16.234 ntdtcsetup.log 21.03.2006 17:27 27.748 comsetup.log 21.03.2006 17:27 25.661 tsoc.log 21.03.2006 17:27 1.374 imsins.log 21.03.2006 17:27 6.469 KB842773.log 21.03.2006 17:27 46.013 ocgen.log 21.03.2006 17:27 2.795 ocmsn.log 21.03.2006 17:27 3.143 msgsocm.log 21.03.2006 17:27 47.926 FaxSetup.log 21.03.2006 17:26 180.520 setupact.log 21.03.2006 17:26 1.374 imsins.BAK 21.03.2006 17:26 7.053 KB893803v2.log 21.03.2006 17:25 8.009 KB898461.log 21.03.2006 11:08 1.894 KB912919.log 17.03.2006 18:39 351 mahjongg.cfg 17.03.2006 18:39 83 winhelp.ini 17.03.2006 18:39 1.408 win.ini 20.02.2006 22:53 181.463 DirectX.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\ 21.03.2006 20:49 0 sys.txt 21.03.2006 20:48 5.347 system.txt 21.03.2006 20:47 293 systemtemp.txt 21.03.2006 20:46 90.122 system32.txt 21.03.2006 18:38 805.306.368 pagefile.sys 13.07.2005 14:22 285 NBDriver.ini 10.05.2005 18:20 267 o2micro.cfg 10.05.2005 18:20 0 QKeys.ini 10.05.2005 14:06 0 AUTOEXEC.BAT 10.05.2005 14:06 0 CONFIG.SYS 10.05.2005 14:06 0 MSDOS.SYS 10.05.2005 14:06 0 IO.SYS 10.05.2005 14:00 194 boot.ini 11.08.2003 04:23 1.331.200 NBDriver.exe 29.08.2002 13:00 4.952 bootfont.bin 29.08.2002 13:00 47.580 NTDETECT.COM 29.08.2002 13:00 235.296 ntldr 05.09.2001 21:00 1.700.352 gdiplus.dll 18 Datei(en) 808.722.256 Bytes 0 Verzeichnis(se), 75.449.942.016 Bytes frei Dann wollte ich den Vierenscan durchführen, ist aber abgebrochen mit folgender Bemerkung, mit der ich nichts anfangen kann: Failed to load Kaspersky On-line Scanner ActiveX control! You must have administrative rights on this computer; you also must have the IE security settings to the Medium level. Ich weiss nicht, was ich ändern soll. Mein AntiVir brachte entweder während des Ladens von Kaspersky oder danach die Meldung, dass die Datei C:\system Volume Information\ ... \A0010904.exe den TR/PSW.Banker.II.7 enthält oder TR/PWS.Banker.II.7 Erst habe ich die Datei in Quarantäne geschickt, dann jedoch gelöscht. Auch habe ich nochmal diese Aktionen durchgeführt: 1. Clean Up nach allen möglichen Versuchen (lt. Ihrer Anweisung) -> Report: CleanUp! started on 03/21/06 20:56:13. C:\Dokumente und Einstellungen\Gabriele\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Gabriele\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Gabriele\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006032120060322\ - deleted 'Typed URLs' (Internet Explorer) - removed from the registry. C:\Dokumente und Einstellungen\Gabriele\Cookies\gabriele@kaspersky[1].txt - deleted C:\Dokumente und Einstellungen\Gabriele\Cookies\gabriele@protecus[1].txt - deleted C:\Dokumente und Einstellungen\Gabriele\Cookies\gabriele@www.gratiscounter[2].txt - deleted C:\Dokumente und Einstellungen\Gabriele\Cookies\gabriele@www.kaspersky[1].txt - deleted C:\Dokumente und Einstellungen\Gabriele\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. Cookie:gabriele@www.gratiscounter.at/ - deleted Cookie:gabriele@protecus.de/ - deleted Cookie:gabriele@www.kaspersky.com/ - deleted Cookie:gabriele@kaspersky.com/ - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\Ergebnis.txt.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\Ergebnis2103_2100.txt.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\errorlog.txt.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\ich traue dem Avenger nicht.doc.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\Kasperski_Abbrauch.txt.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\logavenger.txt.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\system32_2103_1855.txt.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\system32_2103_1858.txt.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\systemtemp_2103_1859.txt.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\system_2103_1900.txt.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\sys_2103_1901.txt.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\_Gegenwehr.lnk - deleted C:\Dokumente und Einstellungen\Gabriele\Recent\_Profitipp.lnk - deleted C:\DOKUME~1\Gabriele\LOKALE~1\Temp\DIO14.tmp - deleted C:\DOKUME~1\Gabriele\LOKALE~1\Temp\DIO5.tmp - deleted C:\DOKUME~1\Gabriele\LOKALE~1\Temp\DIO6.tmp - deleted C:\DOKUME~1\Gabriele\LOKALE~1\Temp\~DFBCAC.tmp - deleted C:\DOKUME~1\Gabriele\LOKALE~1\Temp\msoclip1\01\ - deleted C:\DOKUME~1\Gabriele\LOKALE~1\Temp\msoclip1\02\ - deleted C:\DOKUME~1\Gabriele\LOKALE~1\Temp\msoclip1\ - deleted C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Gabriele\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Gabriele\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\WINDOWS\Prefetch\ATI2MDXX.EXE-00F23993.pf - deleted C:\WINDOWS\Prefetch\ATIPTAXX.EXE-12B5048A.pf - deleted C:\WINDOWS\Prefetch\AVCENTER.EXE-37584419.pf - deleted C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf - deleted C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf - deleted C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf - deleted C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf - deleted C:\WINDOWS\Prefetch\GUARDGUI.EXE-1BD45C30.pf - deleted C:\WINDOWS\Prefetch\HPCMPMGR.EXE-37F8BF19.pf - deleted C:\WINDOWS\Prefetch\HPDARC.EXE-25DD680A.pf - deleted C:\WINDOWS\Prefetch\HPWUSCHD.EXE-2407ECC2.pf - deleted C:\WINDOWS\Prefetch\IEXPLORE.EXE-2CA9778D.pf - deleted C:\WINDOWS\Prefetch\KILLBOX.EXE-0581FC7D.pf - deleted C:\WINDOWS\Prefetch\Layout.ini - deleted C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted C:\WINDOWS\Prefetch\PCMSERVICE.EXE-061A4D8C.pf - deleted C:\WINDOWS\Prefetch\QKEYS.EXE-097B52AB.pf - deleted C:\WINDOWS\Prefetch\SLRUNDLL.EXE-0A50E51B.pf - deleted C:\WINDOWS\Prefetch\SOUNDMAN.EXE-19745A34.pf - deleted C:\WINDOWS\Prefetch\UPDATE.EXE-00D9664A.pf - deleted C:\WINDOWS\Prefetch\UPDATE.EXE-1591C33E.pf - deleted C:\WINDOWS\Prefetch\UPDATE.EXE-1718A39E.pf - deleted C:\WINDOWS\Prefetch\UPDATE.EXE-1D1B4525.pf - deleted C:\WINDOWS\Prefetch\UPDATE.EXE-2F24EDC4.pf - deleted C:\WINDOWS\Prefetch\UPDATE.EXE-359862BA.pf - deleted C:\WINDOWS\Prefetch\UPDATE.EXE-3AA1579D.pf - deleted C:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf - deleted C:\WINDOWS\Prefetch\WINHLP32.EXE-2C18E975.pf - deleted C:\WINDOWS\Prefetch\WINWORD.EXE-0AEA99D4.pf - deleted C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf - deleted 'Run MRU' list - removed from the registry. Paint Recent File List - removed from the registry. WordPad Recent File List - removed from the registry. Telnet's MRU list - removed from the registry. WinZip Extract MRU list - removed from the registry. WinZip File MRU list - removed from the registry. CleanUp! 4.0 recovered 1.2 MB of disk space from 56 files. CleanUp! finished on 03/21/06 20:56:16. Nach systemstart 2. CleanUp ausgeführt -> Report davon: CleanUp! started on 03/21/06 20:59:14. C:\Dokumente und Einstellungen\Gabriele\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Gabriele\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Gabriele\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006032120060322\index.dat - deleted C:\Dokumente und Einstellungen\Gabriele\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006032120060322\ - deleted 'Typed URLs' (Internet Explorer) - removed from the registry. Visited: Gabriele@file:///C:/Dokumente%20und%20Einstellungen/Gabriele/Desktop/CleanUp_Report_2003_2100.txt - deleted C:\Dokumente und Einstellungen\Gabriele\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Gabriele\Recent\CleanUp_Report_2003_2100.txt.lnk - deleted C:\DOKUME~1\Gabriele\LOKALE~1\Temp\DIOC.tmp - deleted C:\DOKUME~1\Gabriele\LOKALE~1\Temp\DIOD.tmp - deleted C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Gabriele\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Gabriele\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\WINDOWS\Prefetch\ATI2MDXX.EXE-00F23993.pf - deleted C:\WINDOWS\Prefetch\ATIPTAXX.EXE-12B5048A.pf - deleted C:\WINDOWS\Prefetch\CLEANUP.EXE-21B56F2B.pf - deleted C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf - deleted C:\WINDOWS\Prefetch\HPCMPMGR.EXE-37F8BF19.pf - deleted C:\WINDOWS\Prefetch\HPOSM.EXE-27BA0BA0.pf - deleted C:\WINDOWS\Prefetch\HPQTRA08.EXE-1DCE361D.pf - deleted C:\WINDOWS\Prefetch\HPTSKMGR.EXE-00829595.pf - deleted C:\WINDOWS\Prefetch\HPWUSCHD.EXE-2407ECC2.pf - deleted C:\WINDOWS\Prefetch\HPZIPM12.EXE-145E7369.pf - deleted C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted C:\WINDOWS\Prefetch\MSMSGS.EXE-32066BA5.pf - deleted C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted C:\WINDOWS\Prefetch\OSA9.EXE-07EC1F61.pf - deleted C:\WINDOWS\Prefetch\PCMSERVICE.EXE-061A4D8C.pf - deleted C:\WINDOWS\Prefetch\QKEYS.EXE-097B52AB.pf - deleted C:\WINDOWS\Prefetch\READER_SL.EXE-36135169.pf - deleted C:\WINDOWS\Prefetch\SMARTSURFER.EXE-0EA960E6.pf - deleted C:\WINDOWS\Prefetch\SOUNDMAN.EXE-19745A34.pf - deleted C:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf - deleted C:\WINDOWS\Prefetch\WZQKPICK.EXE-160BDDE7.pf - deleted 'Run MRU' list - removed from the registry. Paint Recent File List - removed from the registry. WordPad Recent File List - removed from the registry. Telnet's MRU list - removed from the registry. WinZip Extract MRU list - removed from the registry. WinZip File MRU list - removed from the registry. CleanUp! 4.0 recovered 889.1 KB of disk space from 27 files. CleanUp! finished on 03/21/06 20:59:14. Nach dem erneuten Systemstart habe ich sofort datfind.bat ausgeführt: Nach dem 2. Neustart datfind.bat aufgerufen. Hier die Ergebnisse (letzte Einträge): Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\WINDOWS\system32 19.03.2006 21:52 2.206 wpa.dbl 18.01.2006 13:05 57.344 avsda.dll 06.01.2006 15:57 182.632 FNTCACHE.DAT 15.12.2005 13:53 16.832 amcompat.tlb 15.12.2005 13:53 23.392 nscompat.tlb 29.11.2005 16:01 380.548 perfh009.dat 29.11.2005 16:01 52.962 perfc009.dat 29.11.2005 16:01 391.244 perfh007.dat 29.11.2005 16:01 63.778 perfc007.dat 29.11.2005 16:01 896.486 PerfStringBackup.INI 15.11.2005 09:38 176.167 rmoc3260.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\DOKUME~1\Gabriele\LOKALE~1\Temp 21.03.2006 21:02 46.713 DIO14.tmp 21.03.2006 21:02 46.713 DIO13.tmp 2 Datei(en) 93.426 Bytes 0 Verzeichnis(se), 75.453.386.752 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\WINDOWS 21.03.2006 21:01 1.050.774 WindowsUpdate.log 21.03.2006 20:54 159 wiadebug.log 21.03.2006 20:54 50 wiaservc.log 21.03.2006 20:53 0 0.log 21.03.2006 20:53 2.048 bootstat.dat 21.03.2006 20:53 20.556 SchedLgU.Txt 21.03.2006 20:52 25.272 ModemLog_Smart Link 56K Modem.txt 21.03.2006 20:41 5.191 KB873339.log 21.03.2006 20:32 5.087 KB888113.log 21.03.2006 20:21 429.741 setupapi.log 21.03.2006 20:14 5.028 KB905495.log 21.03.2006 20:09 4.988 KB891781.log 21.03.2006 19:45 4.831 KB905414.log 21.03.2006 19:34 4.790 KB888302.log 21.03.2006 19:29 5.794 KB902400.log 21.03.2006 18:24 4.170 KB896423.log 21.03.2006 17:27 5.698 iis6.log 21.03.2006 17:27 27.748 comsetup.log 21.03.2006 17:27 16.234 ntdtcsetup.log 21.03.2006 17:27 1.374 imsins.log 21.03.2006 17:27 25.661 tsoc.log 21.03.2006 17:27 6.469 KB842773.log 21.03.2006 17:27 2.795 ocmsn.log 21.03.2006 17:27 46.013 ocgen.log 21.03.2006 17:27 3.143 msgsocm.log 21.03.2006 17:27 47.926 FaxSetup.log 21.03.2006 17:26 180.520 setupact.log 21.03.2006 17:26 1.374 imsins.BAK 21.03.2006 17:26 7.053 KB893803v2.log 21.03.2006 17:25 8.009 KB898461.log 21.03.2006 11:08 1.894 KB912919.log 17.03.2006 18:39 351 mahjongg.cfg 17.03.2006 18:39 83 winhelp.ini 17.03.2006 18:39 1.408 win.ini 20.02.2006 22:53 181.463 DirectX.log 06.01.2006 19:23 120.741 wmsetup.log 06.01.2006 15:53 400 ODBC.INI 06.01.2006 15:53 4.335 ODBCINST.INI Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CCFD-D438 Verzeichnis von C:\ 21.03.2006 21:05 0 sys.txt 21.03.2006 21:04 5.347 system.txt 21.03.2006 21:04 340 systemtemp.txt 21.03.2006 21:02 90.122 system32.txt 21.03.2006 20:53 805.306.368 pagefile.sys 13.07.2005 14:22 285 NBDriver.ini 10.05.2005 18:20 267 o2micro.cfg 10.05.2005 18:20 0 QKeys.ini 10.05.2005 14:06 0 AUTOEXEC.BAT 10.05.2005 14:06 0 CONFIG.SYS 10.05.2005 14:06 0 MSDOS.SYS 10.05.2005 14:06 0 IO.SYS 10.05.2005 14:00 194 boot.ini 11.08.2003 04:23 1.331.200 NBDriver.exe 29.08.2002 13:00 4.952 bootfont.bin 29.08.2002 13:00 47.580 NTDETECT.COM 29.08.2002 13:00 235.296 ntldr 05.09.2001 21:00 1.700.352 gdiplus.dll 18 Datei(en) 808.722.303 Bytes 0 Verzeichnis(se), 75.453.435.904 Bytes frei Vielleicht kannst Du damit was anfangen, z.B. welche Dateien immer wieder erstellt werden. Also was habe ich jetzt noch falsch gemacht? Was muß ich machen damit der Virenscan von Kaspersky läuft? Noch ein Hinweis: Während ich Deine Anweisungen gelesen und die angegebenen Seiten gesichtet habe, hat sich ein Update installiert. - Ich weiß nicht ob das wichtig ist. Danach sind mir 3 neue, schreibgeschützte und versteckte Ordner unter c:\Windows aufgefallen: $MSI13Uninstall_KB893803v2$ $NtUninstallKB842773$ $NtUninstallKB898461$ Was sind das für Verzeichnisse und muss ich sie weiterhin aufbewahren, oder kann ich sie löschen? Ich habe gelesen, dass ich KB835732 (MS04-011) installieren sollte, um das Sicherheitsleck zu schließen. Vorher soll ich jedoch eine Systemsicherung durchführen. Wie macht man das? Und wie kann man alles zurückspeichern, wenn was schief gegangen ist? Habe bisher im Forum nichts dazu gefunden. Ich wäre Dir dankbar, wenn Du mir weiterhelfen könntest. Nachdem soviel nicht richtig funktioniert hat., trau ich mich nichts mehr ohne Sicherheit (oder Hilfe) am PC zu ändern. Bitte, hilf mir weiter, auch wenn Du denkst, dass Du einen Dummy vor Dir hast! Vielen Dank! oderg |
|
|
|
|
|
|
22.03.2006, 00:02
Ehrenmitglied
Beiträge: 29434 |
#8
1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. * Internet - Explorer -- Menü Extras -- Internetoptionen -- Sicherheit ActiveX-Steuerelemente ausführen, die für Scripting sicher sind:aktivieren 3.Internetexplorer/Einstellungsempfehlungen/Registerkarte Sicherheit--> auf Mittel stellen. Der Onlinescan mit kaspersky wird aber wahrscheinlich nicht klappen, ist vom Trojaner so eingestellt.....aber das nun in der Registry zu finden... 3.Versuche andere Onlinescanner (auf der Seite gibt es viele) und berichte ; http://virus-protect.org/onlinescan.html + 4. poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Bei den Dateien c: \windows\system32\mmf32.exe und c:\windows\system32\mmsvc32.exe alarmierte das AntiVir TR/Drop.Banker.II.7, bei den Dateien c:\windows\system32\spools.exe und c:\windows\system32\bbot.exe alarmierte das AntiVir TR/PWS.Banker.II.7. Leider bietet das Programm keine Beseitigungsmöglichkeit, außer die die Datein zu löschen. Leider weiß ich aber auch nicht, was hinter den Dateien steht. Sind diese notwendig, wofür? Wo kann man saubere Versionen her bekommen? Nachdem ich in dem Verzeichnis nachgesehen habe, sind dort noch mehrere Datein mit dem gleichen Datum: TFTP53944 0 KB, i 1 KB, MDN.cpp 1 KB, xbccd.log 1KB, spools.exe 210 KB, bbot.exe.chech 0 KB.
In einem Artikel zu einem Wurm (Namy-A), der auch die Datei mmsvvc32.exe befällt, habe ich gelesen, dass in der Registry folgender Eintrag gelöscht werden soll:
HKML\SOFTWARE\Microsoft\Current\Version\Run Microsoft Network Solution Controller <system>\mmsvc32.exe. Soll ich das auch machen? Ich habe auch einen analogen Eintrag für Spools.exe in der Registry gefunden. Muss diese dann auch gelöscht werden?
Können Sie mir ganz einfach erklären, was ich tun kann, um mein Notebook wieder zu säubern?
Ich hoffe, dass ich demnächst noch ins Internet komme, denn ich habe die MMSVC32.exe in die Quarantäne geschickt und den Zugriff auf Spools.exe verweigert.
Im Forum angegebene Möglichkeiten, mein System übers Internet zu scannen, sind leider fehl geschlagen. Seltsamerweise wird nicht angezeigt, dass ich den Internetexplorer habe, sondern Mozilla (irgendwas, ich glaube 4).