rechner mit Win32:Trojano-1320 [Trj] infiziert

#16 dann scanne bitte mit Bitdefender\ ScanOnline neu und poste den scanreport hier.
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 kann ich auch einen anderen online sanner benutzen? der tut irgendwie nich, es kommt die ganze zeit eine fehlermeldung!

#18 dann nimm irgendeinen anderen, der funktioniert ...und poste die scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit

#19 trend-micro hat adw_navisearch.b und adw_bargbuddy.c gefunden! gab aber irgendwie keinen scanreport

ergebnis von McAfee:
List of Infected Files
File Name Virus Name
C:\WINDOWS\system\svchost.exe BackDoor-CYL
C:\WINDOWS\system32\dvd4free.dll PWS-Goldun.dll
C:\WINDOWS\Temp\_avast4_\unp78737451.tmp BackDoor-CYL

#20 tak

Lade Avenger
http://virus-protect.org/artikel/tools/avenger.html

reinkopieren:

Zitat

Files to delete:

C:\WINDOWS\wjl.exe
C:\WINDOWS\system32\tickcnt.bin
C:\WINDOWS\System\svchost.exe
C:\WINDOWS\System\svchost.dll
C:\WINDOWS\system\winlogon.dll
C:\WINDOWS\system\winlogon.exe
C:\WINDOWS\system32\dvd4free.dll
C:\WINDOWS\system32\dvdkernl.sys
C:\WINDOWS\Temp\_avast4_\unp78737451.tmp

klicke die "gruene Ampel"
das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten

suche das Log vom Avenger
Logfile of The Avenger version 1, by Swandog46
und poste es hier
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\acihlypp

*******************

Script file located at: \??\C:\Program Files\xuwahbdb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\wjl.exe not found!
Deletion of file C:\WINDOWS\wjl.exe failed!

Could not process line:
C:\WINDOWS\wjl.exe
Status: 0xc0000034

File C:\WINDOWS\system32\tickcnt.bin deleted successfully.
File C:\WINDOWS\System\svchost.exe deleted successfully.


File C:\WINDOWS\System\svchost.dll not found!
Deletion of file C:\WINDOWS\System\svchost.dll failed!

Could not process line:
C:\WINDOWS\System\svchost.dll
Status: 0xc0000034



File C:\WINDOWS\system\winlogon.dll not found!
Deletion of file C:\WINDOWS\system\winlogon.dll failed!

Could not process line:
C:\WINDOWS\system\winlogon.dll
Status: 0xc0000034

File C:\WINDOWS\system\winlogon.exe deleted successfully.
File C:\WINDOWS\system32\dvd4free.dll deleted successfully.


File C:\WINDOWS\system32\dvdkernl.sys not found!
Deletion of file C:\WINDOWS\system32\dvdkernl.sys failed!

Could not process line:
C:\WINDOWS\system32\dvdkernl.sys
Status: 0xc0000034

File C:\WINDOWS\Temp\_avast4_\unp78737451.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#22 nun suche den Avenger und loesche ihn komplett, dann sollte wieder alles in ordnung sein...vorrausgesetzt, die Schluessel in der registry (LEGACY_DVDKERNL) sind ebenfalls geloescht
__________
MfG Sabina

rund um die PC-Sicherheit

#23 mmh avast zeigt leider immer noch den trojaner Win32:Trojano-1320 [Trj] an...

#24 dann tue mir den Gefallen, denn ich habe keine Glaskugel... und poste mir, was der Avast noch findet. (den Pfad)
__________
MfG Sabina

rund um die PC-Sicherheit

#25 also avast hat drei infektionen festgestellt:

C:\DokumenteundEinstellungen\AllUsers\Anwendungsdaten\T-Online\T-Online_Software_6\Basis-Software\Kernel_0.dmp

C:\DokumenteundEinstellungen\AllUsers\Anwendungsdaten\T-Online\T-Online_Software_6\Basis-Software\Kernel_1.dmp

C:\DokumenteundEinstellungen\AllUsers\Anwendungsdaten\T-Online\T-Online_Software_6\Basis-Software\Kernel_2.dmp

sind alle mit Win32:Haxdoor-BR infiziert!

Hier auch noch der scanreport:
*
* avast! Report
* Diese Datei wird automatisch generiert
*
* Aufgabe 'Simple user interface' verwendet
* Start: Donnerstag, 30. März 2006 16:09:51
* VPS: 0613-1, 29.03.2006
*

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temp\JETD392.tmp [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SHUR0LQB\Inneres_Milieu_und_Homoeostase21[1].ppt [E] Möglicherweise beschädigtes OLE-Dokument. (42103)
C:\Dokumente und Einstellungen\PC\NTUSER.DAT [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\ntuser.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\hiberfil.sys [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Meine Bilder\##04IndexerRunning [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\pagefile.sys [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\System Volume Information [E] Zugriff verweigert (5)
C:\WINDOWS\system32\CatRoot2\edb.log [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\CatRoot2\tmp.edb [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\default [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\default.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\SAM [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\SAM.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\SECURITY [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\SECURITY.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\software [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\software.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\system [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\system.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\Temp\Perflib_Perfdata_3f8.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
Infizierte Dateien: 0
Dateien gesamt: 40398
Ordner gesamt: 3284
Gesamtgröße: 14,6 GB

*
* Aufgabe beendet: Donnerstag, 30. März 2006 16:29:13
* Laufzeit war 19 Minute(n), 22 Sekunde(n)
*

*
* avast! Report
* Diese Datei wird automatisch generiert
*
* Aufgabe 'Simple user interface' verwendet
* Start: Donnerstag, 13. April 2006 17:37:02
* VPS: 0615-2, 12.04.2006
*

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online\T-Online_Software_6\Basis-Software\Kernel_0.dmp [L] Win32:Haxdoor-BR [Trj] (0)
Datei erfolgreich in Container verschoben...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online\T-Online_Software_6\Basis-Software\Kernel_1.dmp [L] Win32:Haxdoor-BR [Trj] (0)
Datei erfolgreich in Container verschoben...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online\T-Online_Software_6\Basis-Software\Kernel_2.dmp [L] Win32:Haxdoor-BR [Trj] (0)
Datei erfolgreich gelöscht...
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temp\JETAB96.tmp [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temp\Perflib_Perfdata_1e0.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\NTUSER.DAT [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Dokumente und Einstellungen\PC\ntuser.dat.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\hiberfil.sys [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Meine Bilder\##04IndexerRunning [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\pagefile.sys [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chandir.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chandir.idx [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chn.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\chn.idx [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\D0000000.FCS [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\L0000005.FCS [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs.idx [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_die.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_die.idx [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_dnd.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_dnd.idx [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_ext.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_ext.idx [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_rcv.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\prs_rcv.idx [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\storydb.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\Programme\Kodak\KODAK Software Updater\7288971\Users\Default\Data\storydb.idx [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\System Volume Information [E] Zugriff verweigert (5)
C:\WINDOWS\system32\config\default [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\default.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\SAM [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\SAM.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\SECURITY [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\SECURITY.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\software [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\software.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\system [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\system32\config\system.LOG [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\Temp\JETAB53.tmp [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\Temp\Perflib_Perfdata_484.dat [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
C:\WINDOWS\Temp\_avast4_\Webshlock.txt [E] Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird (32)
Infizierte Dateien: 3
Dateien gesamt: 37124
Ordner gesamt: 3323
Gesamtgröße: 14,9 GB

*
* Aufgabe beendet: Donnerstag, 13. April 2006 18:50:25
* Laufzeit war 1 Stunde(n), 13 Minute(n), 23 Sekunde(n)
*

#26 ich wusste nicht, dass der Haxdoor auch auf diese Software zugreift.
Ich empfehle dir, T-Online-Software neu zu installieren.
+
poste mir das LOG vom:
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#27 oh okey, werd ich dann aber erst nach den feiertagen machen!