Norton wurde deaktiviert.. Virus?

#0
26.04.2006, 01:59
Member

Beiträge: 80
#1 _Hallo Sabina!
Ich muss dich leider wieder um deine Hilfe bitten! Ich habe folgendes Problem: NortonAntiVirus wurde ganz ploetzlich ausser Betrieb gesetzt, und will, dass ich ihn neu aktiviere(läuft normalerweise noch bis Februar2007), alle aktivierungsVersuche sind fehlgeschlagen.... Ich vermute das schlimmste! Kannst du mir bitte helfen?. Hier ist schon mal mein HijackThis Log:
Danke!
Logfile of HijackThis v1.99.1
Scan saved at 01:35:46, on 26.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\VAIO Update 2\VAIOUpdt.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\eMule\emule.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\DOKUME~1\Svetlana\LOKALE~1\Temp\65exmodul32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Dokumente und Einstellungen\Svetlana\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMMOU~1\MouseDrv.exe
O4 - HKLM\..\Run: [PrepareYourVAIO] C:\Programme\Sony\Prepare your VAIO\PYVAlert.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Übertragen mit Image Converter 2 - C:\Programme\Sony\Image Converter 2\menu.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141575576796
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{20E75DD5-06E8-4D7E-AA55-7C750FED87C1}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MSCSPTISRV - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing)
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Programme\Sony\VAIO Entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe


**
Dieser Beitrag wurde am 26.04.2006 um 02:03 Uhr von lana.. editiert.
Seitenanfang Seitenende
26.04.2006, 07:16
...neu hier

Beiträge: 3
#2 hallo,
wie das hier aussieht, wurde norton nur auser gefecht gesetzt.

ich empfehle die einfachste möglichkeit:

norton deaktivieren,
Antivir Freeware installieren (http://www.free-av.de)
und dann AV durchlaufen lassen.
Ist die einfachste möglichkeit und wohl sehr effektiv.

Wenn das fehlschlägt,
hast du schon nach Spyware geschaut?
meist sind deaktivierungen von programmen nicht auf viren bassierend sondern auf spyware.

gruß Nosound
Seitenanfang Seitenende
26.04.2006, 13:05
Member

Themenstarter

Beiträge: 80
#3 Mein Pc ist total verseucht, mache grade Scan mit dem SpywareDoctor und AntiVir..., und es ist noch nicht mal fertig und schon hat er Trojaner, Worm's und noch ein Haufen dreck gefunden....,und das alles,wo d.Norton nur2Tage am spinnen war und nicht lief(läuft)
Bitte dringend um Hilfe, ich werde gleich den Report hierher kopieren..
Seitenanfang Seitenende
26.04.2006, 13:16
...neu hier

Beiträge: 3
#4 es kann sein das norton schon längere zeit manipuliert ist...
durch unregelmäßige updates usw.
wenn das alles nicht funktioniert, mal die ganzen antiviren progs im abgesicherten laufen lassen...
Seitenanfang Seitenende
26.04.2006, 14:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 lana..

es ist das: Backdoor.Win32.IRCBot
http://virus-protect.org/artikel/dienste/nvsvcd.html

-----------------------------------------------------------------

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
RootkitRevealer-> poste das Log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2006, 17:24
Member

Themenstarter

Beiträge: 80
#6 ..Backdoor.Win32.IRCBot und noch andere 80 Parasiten(dadrunter Trojaner), 81 stück insgesamt, und das hat nur der SpyDoctor gesagt, das AntiVir hat fast genau so viel entdeckt...Schöne sch....
Danke für die schnelle Hilfe!


zu 1. erledigt
zu2.
1 Log-
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS\system32

26.04.2006 16:34 2.541 ikhcore.log
24.04.2006 21:46 1.158 wpa.dbl
10.04.2006 20:01 332.672 perfh009.dat
10.04.2006 20:01 343.304 perfh007.dat
10.04.2006 20:01 48.718 perfc009.dat
10.04.2006 20:01 59.710 perfc007.dat
10.04.2006 20:01 785.846 PerfStringBackup.INI
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:27 1.495.040 shdocvw.dll
30.03.2006 03:52 25.600 xpsp3res.dll
23.03.2006 22:33 3.076.608 mshtml.dll
23.03.2006 02:33 2.751 Aquarium ScreenSaver.002
21.03.2006 13:19 280.536 FNTCACHE.DAT
20.03.2006 21:42 36.864 Skel32.dll
20.03.2006 21:42 3.584 SKELETON.DLL
18.03.2006 13:07 616.448 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
13.03.2006 17:55 5.501 rtclcmg32.dll
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 06:00 669.184 wininet.dll
04.03.2006 06:00 474.624 shlwapi.dll
04.03.2006 06:00 532.480 mstime.dll
04.03.2006 06:00 39.424 pngfilt.dll
04.03.2006 06:00 146.432 msrating.dll
04.03.2006 06:00 448.512 mshtmled.dll
04.03.2006 06:00 251.904 iepeers.dll
04.03.2006 06:00 96.768 inseng.dll
04.03.2006 06:00 152.064 cdfview.dll
04.03.2006 06:00 1.056.256 danim.dll
04.03.2006 06:00 55.808 extmgr.dll
04.03.2006 06:00 205.312 dxtrans.dll
04.03.2006 06:00 1.022.976 browseui.dll
23.02.2006 12:41 466.944 capicom.dll
21.02.2006 19:13 8 wtl.dat
14.02.2006 12:10 91.904 S32EVNT1.DLL
14.02.2006 10:20 550.120 LegitCheckControl.dll
13.02.2006 12:21 176.167 rmoc3260.dll
13.02.2006 12:21 5.632 pndx5032.dll
13.02.2006 12:21 6.656 pndx5016.dll
13.02.2006 12:21 278.528 pncrt.dll
09.02.2006 18:32 100 LuResult.txt
27.01.2006 01:15 7.006 jupdate-1.5.0_06-b05.log
26.01.2006 20:36 716.800 divxdec.ax
26.01.2006 20:35 679.936 divx_xx07.dll
26.01.2006 20:35 679.936 divx_xx0c.dll
26.01.2006 20:35 663.552 divx_xx11.dll
24.01.2006 20:08 12.288 DivXWMPExtType.dll

2 Log-
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\DOKUME~1\Svetlana\LOKALE~1\Temp

26.04.2006 16:36 16.384 Perflib_Perfdata_ebc.dat
26.04.2006 16:36 16.384 ~DF573D.tmp
26.04.2006 16:31 54.272 ginstall.dll
26.04.2006 16:09 16.384 ~DFE81.tmp
26.04.2006 16:01 16.384 ~DFD3FC.tmp
26.04.2006 15:32 41.984 85exmscfgl.exe
26.04.2006 14:02 41.984 67exmscfgl.exe
26.04.2006 11:18 47 autorun.inf
26.04.2006 11:18 55.586 install.exe
26.04.2006 11:18 22.016 87exssd32a.exe
26.04.2006 11:18 41.984 63exmscfgl.exe
25.04.2006 22:41 22.016 20exssd32a.exe
25.04.2006 22:41 47.104 65exmodul32.exe
25.04.2006 15:17 0 aaxF.tmp
25.04.2006 14:35 41.984 16exmscfgl.exe
25.04.2006 14:35 22.016 37exssd32a.exe
25.04.2006 14:10 0 aaxE.tmp
24.04.2006 23:34 0 aaxC.tmp
24.04.2006 22:41 22.016 50exssd32a.exe
24.04.2006 22:41 41.984 56exmscfgl.exe
24.04.2006 22:39 6.148 instopts.dat
24.04.2006 22:39 286.810 Norton Internet Security 4-24-2006 22h39m27s.log
24.04.2006 21:47 49.152 tmp1.tmp
23.04.2006 22:23 0 aaxD.tmp
23.04.2006 20:12 47.616 56exmodul32.exe
23.04.2006 19:09 41.984 88exmscfgl.exe
22.04.2006 20:19 47.616 99exmodul32.exe
22.04.2006 19:07 22.016 13exssd32a.exe
22.04.2006 11:11 0 aaxB.tmp
21.04.2006 23:15 111 DFC5A2B2.TMP
21.04.2006 22:43 0 aaxA.tmp
21.04.2006 21:56 0 aax9.tmp
21.04.2006 21:10 0 aax8.tmp
21.04.2006 21:01 0 aax7.tmp
21.04.2006 20:22 47.616 36exmodul32.exe
21.04.2006 19:07 41.984 33exmscfgl.exe
21.04.2006 15:15 0 aax6.tmp
21.04.2006 15:01 41.984 8exmscfgl.exe
21.04.2006 14:50 0 aax5.tmp
21.04.2006 14:03 0 aax4.tmp
21.04.2006 00:10 0 aax3.tmp
20.04.2006 20:39 47.616 98exmodul32.exe
20.04.2006 19:07 22.016 17exssd32a.exe
20.04.2006 19:06 16.384 ~DFF1A6.tmp
20.04.2006 18:38 22.016 27exssd32a.exe
20.04.2006 17:09 16.384 ~DFE5AB.tmp
20.04.2006 00:13 299.364 e273_appcompat.txt
20.04.2006 00:06 22.016 82exssd32a.exe
19.04.2006 23:36 22.016 84exssd32a.exe
19.04.2006 22:51 22.016 25exssd32a.exe
19.04.2006 22:50 16.384 ~DFFAE7.tmp
19.04.2006 22:01 22.016 68exssd32a.exe
19.04.2006 16:23 22.016 64exssd32a.exe
19.04.2006 15:53 47.616 90exmodul32.exe
19.04.2006 15:10 22.016 30exssd32a.exe
19.04.2006 14:45 47.616 84exmodul32.exe
19.04.2006 14:14 22.016 94exssd32a.exe
19.04.2006 13:49 47.616 78exmodul32.exe
19.04.2006 13:30 22.016 24exssd32a.exe
19.04.2006 13:05 47.104 34exmodulbk.exe
19.04.2006 12:52 22.016 99exssd32a.exe
19.04.2006 12:26 47.104 19exmodulbk.exe
19.04.2006 12:16 22.016 38exssd32a.exe
19.04.2006 11:51 47.104 36exmodulbk.exe
19.04.2006 11:43 22.016 56exssd32a.exe
19.04.2006 11:17 47.104 68exmodulbk.exe
19.04.2006 11:10 22.016 0exssd32a.exe
18.04.2006 23:59 0 aax2.tmp
18.04.2006 23:57 0 aax1.tmp
18.04.2006 23:47 22.016 51exssd32a.exe
18.04.2006 15:52 22.016 44exssd32a.exe
18.04.2006 15:39 22.016 31exssd32a.exe
18.04.2006 00:54 47.104 21exmodulbk.exe
16.04.2006 15:02 16.384 ~DFFDA4.tmp
15.04.2006 02:13 0 aax102.tmp
13.04.2006 18:17 0 aax52.tmp
12.04.2006 04:03 16.384 ~DFD131.tmp
11.04.2006 19:52 0 aax59A.tmp
10.04.2006 21:02 819.912 FlashPlayerUpdate.exe
10.04.2006 02:25 0 aax23C.tmp
09.04.2006 21:29 717 control.xml
09.04.2006 15:50 0 aax12A.tmp
09.04.2006 15:14 0 aax129.tmp
09.04.2006 03:40 0 aax11E.tmp
09.04.2006 02:20 0 aaxF5.tmp
09.04.2006 00:06 0 aaxF4.tmp
08.04.2006 20:42 0 aaxF3.tmp
08.04.2006 20:28 0 aaxF2.tmp
08.04.2006 20:21 0 aaxF1.tmp
08.04.2006 20:18 0 aaxF0.tmp
07.04.2006 21:15 0 aaxCD.tmp
07.04.2006 21:12 0 aaxCC.tmp
06.04.2006 22:44 16.384 ~DF82F3.tmp
06.04.2006 01:35 65.536 ~DFF72E.tmp
06.04.2006 01:12 16.384 ~DFD306.tmp
02.04.2006 16:48 65.536 ~DF8A5A.tmp
02.04.2006 16:47 16.384 ~DF539A.tmp
01.04.2006 03:03 16.384 ~DF7FDA.tmp
30.03.2006 14:17 65.536 ~DF2DE6.tmp
28.03.2006 18:41 0 aax2C5.tmp
27.03.2006 01:46 16.384 ~DF7107.tmp
27.03.2006 01:35 4.725 SYMEVENT.LOG
25.03.2006 21:49 0 aax38A.tmp
25.03.2006 21:45 0 aax389.tmp
25.03.2006 21:34 0 aax388.tmp
24.03.2006 23:52 0 fla2F2.tmp
24.03.2006 21:10 0 aax139.tmp
23.03.2006 17:51 0 TempCover2
22.03.2006 22:55 16.384 ~DF9B24.tmp
22.03.2006 02:00 10.236 Microsoft Office 2003 Setup(0001).txt
22.03.2006 02:00 1.170.316 Microsoft Office 2003 Setup(0001)_Task(0001).txt
22.03.2006 00:08 797.676 IMT102.xml
22.03.2006 00:08 426 IMT101.xml
22.03.2006 00:08 2.036 IMT100.xml
22.03.2006 00:07 797.676 IMTFF.xml
22.03.2006 00:07 426 IMTFE.xml
22.03.2006 00:07 2.036 IMTFD.xml
22.03.2006 00:07 797.676 IMTF9.xml
22.03.2006 00:07 426 IMTF8.xml
22.03.2006 00:07 2.036 IMTF7.xml
22.03.2006 00:06 797.676 IMTF1.xml
22.03.2006 00:06 426 IMTF0.xml
22.03.2006 00:06 2.036 IMTEF.xml
22.03.2006 00:05 797.676 IMTE0.xml
22.03.2006 00:05 426 IMTDF.xml
22.03.2006 00:05 2.036 IMTDD.xml
21.03.2006 17:57 16.384 ~DFE1B7.tmp
20.03.2006 22:45 0 IC066F.tmp
20.03.2006 22:45 0 IC066E.tmp
20.03.2006 21:43 339 vdp.log
20.03.2006 21:42 197 DLL_{D5BB0907-4BB0-46A3-AA68-0173D111058D}.ini
19.03.2006 03:41 16.384 ~DF17FC.tmp
13.03.2006 17:57 3.584 15b62e49.mst
17.02.2006 10:41 240.128 20873.dll
134 Datei(en) 8.913.630 Bytes
0 Verzeichnis(se), 2.451.296.256 Bytes frei
(..fing ab Februar an)


3 Log-
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\WINDOWS

26.04.2006 16:35 0 0.log
26.04.2006 16:34 2.048 bootstat.dat
26.04.2006 16:32 (32.346) SchedLgU.Txt
26.04.2006 16:32 (1.443.485) WindowsUpdate.log
25.04.2006 23:54 116 NeroDigital.ini
24.04.2006 22:41 53.248 mscfg.dll
20.04.2006 18:37 43.361 setupapi.log
15.04.2006 10:50 12.862 EPISMG00.SWB
12.04.2006 03:56 922 spupdsvc.log
12.04.2006 03:48 14.991 KB911565.log
12.04.2006 03:48 1.459 wmsetup.log
12.04.2006 03:47 3.951 iis6.log
12.04.2006 03:47 8.221 comsetup.log
12.04.2006 03:47 4.980 ntdtcsetup.log
12.04.2006 03:47 1.368 ocmsn.log
12.04.2006 03:47 1.374 imsins.log
12.04.2006 03:47 9.436 tsoc.log
12.04.2006 03:47 17.163 KB911562.log
12.04.2006 03:47 11.664 ocgen.log
12.04.2006 03:47 1.236 msgsocm.log
12.04.2006 03:47 24.730 FaxSetup.log
12.04.2006 03:47 4.213 updspapi.log
12.04.2006 03:47 1.374 imsins.BAK
12.04.2006 03:47 18.619 KB912812.log
12.04.2006 03:47 11.687 KB908531.log
12.04.2006 03:47 10.904 KB911567.log
06.04.2006 20:15 50 wiaservc.log
06.04.2006 20:15 556 wiadebug.log
06.04.2006 18:21 602 win.tmp
06.04.2006 18:21 602 win.ini
24.03.2006 01:28 33.949 LUINSTALL.LOG
22.03.2006 01:59 400 ODBC.INI
22.03.2006 00:09 300 setupact.log
21.03.2006 05:29 3.784 ModemLog_HDAUDIO SoftV92 Data Fax Modem with SmartCP.txt
20.03.2006 04:32 7.168 Thumbs.db
18.03.2006 10:35 0 Sti_Trace.log
14.03.2006 22:46 67 Speed Video Converter.INI
13.03.2006 17:56 316.640 WMSysPr9.prx
12.03.2006 01:40 0 setuperr.log
07.03.2006 05:47 1.700 wincmd.ini
13.02.2006 12:22 25 cdplayer.ini
01.02.2006 18:48 3.072.054 wallpaper.bmp


4 Log-

Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 54A5-8EF0

Verzeichnis von C:\

26.04.2006 17:00 0 sys.txt
26.04.2006 16:59 8.454 system.txt
26.04.2006 16:57 6.998 systemtemp.txt
26.04.2006 16:56 107.302 system32.txt
26.04.2006 16:34 526.897.152 hiberfil.sys
26.04.2006 16:34 792.723.456 pagefile.sys
03.04.2006 20:34 43 1144089266.txt
25.03.2006 12:23 105 1143282193.txt
24.03.2006 19:04 74 1143219881.txt
19.10.2005 20:44 211 boot.ini
25.03.2005 17:58 3.591 data
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
14 Datei(en) 1.320.051.086 Bytes
0 Verzeichnis(se), 2.451.288.064 Bytes frei

zu 3.
Runtergeladen>Entzipt>Drücke Scan, es kommt immer wieder die Meldung von AntiVir-Achtung Tr.Pferd MedBot.B.1.,ich wähle Qurantene,kommt wieder und wieder und lässt mich nicht weiter kommen..,hab nocheinmal versucht..,das gleiche bild, was nun?
Seitenanfang Seitenende
26.04.2006, 17:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

PC neustarten


Muss leer sein !!!
Verzeichnis von C:\DOKUME~1\Svetlana\LOKALE~1\Temp

2.
lade das Tool, klicke beim Antivirus auf "ignorieren" oder "erlauben" oder aehnliches

RootkitRevealer-> poste das Log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2006, 17:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 lana..

Text in den Texteditor kopieren
abspeichern (alle Dateien) als service.bat
doppeltklicken

Zitat

@ECHO OFF
cd\WINDOWS\system32\nvsvcd.exe
sc config Windows Log start= disabled
sc stop Windows Log
sc delete Windows Log
attrib -s -r -h nvsvcd.exe
del nvsvcd.exe
exit
------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log]
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system32\ikhcore.log
C:\DOKUME~1\Svetlana\LOKALE~1\Temp\65exmodul32.exe
C:\WINDOWS\system32\wtl.dat
C:\WINDOWS\system32\mscfg.dll
C:\WINDOWS\mscfg.dll
C:\1144089266.txt
C:\1143282193.txt
C:\1143219881.txt
C:\data

klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

**
wende noch mal im abgesicherten Modus den CleanUp an !

----------------------------------------


1. poste das Log vom Avenger

2. http://virus-protect.org/cureit.html

Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren

%userprofil%\doctorweb\cureit.log

eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2006, 23:23
Member

Themenstarter

Beiträge: 80
#9 CleanUp nochmal eingestellt, Neugestartet(er fragte mich aber nicht, auch beim ersten mal nicht), das Verzeichnis C:\DOKUME~1\Svetlana\LOKALE~1\Temp
ist immer noch nicht leer.
RootkitRevealer, läuft seit 20 min und ohne grossen fortschritt(die Meldung vo AntiVir kommt auch ununterbrochen)


Komme jetzt zu den nächsten Punkten.....sorry habe da am Anfang nicht ganz verstanden..,meinst du die erste Zitat kopieren und in ein neues textdokument speichern?.
--------------------------------------------------------------------


fixme.reg datei ist auf dem desktop.
Der Scanvorgang von RootkitRevealer ist jetzt fertig, kann den Inhalt aber nich abkopieren..
Dieser Beitrag wurde am 26.04.2006 um 23:56 Uhr von lana.. editiert.
Seitenanfang Seitenende
27.04.2006, 00:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10

Zitat

fixme.reg datei ist auf dem desktop.
Der Scanvorgang von RootkitRevealer ist jetzt fertig, kann den Inhalt aber nich abkopieren..
speichere das Log als textdatei und poste es als Anhang (siehe unten)

-----

ansonsten arbeite alle Punkte nacheinander ab, ich habe sie nummeriert, und voneinander abgegrenzt.... damit du nicht durcheinander kommst)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2006, 11:48
Member

Themenstarter

Beiträge: 80
#11 Hallo Sabina, bin wieder zuhause...
Ergebnis von Avenger-

Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

fixme.reg abgespeichert(alle dateien), aber als ich den pc in den abgesichertem modus gestartet habe ,war die datei nicht mehr auf dem desktop, und den cleanup konnte ich auch nicht mehr finden..
http://virus-protect.org/cureit.html ,-link funktioniert nicht, und wo ist Drweb?., ich gebe das ein(start-ausführen), aber er findet nichts(error)..
Seitenanfang Seitenende
30.04.2006, 14:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 lana..

1.
klicke die "fixme.reg" im Normalmodus doppelt und fuege sie der Registry bei (mit "ja" )

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system32\ikhcore.log
C:\DOKUME~1\Svetlana\LOKALE~1\Temp\65exmodul32.exe
C:\WINDOWS\system32\wtl.dat
C:\WINDOWS\system32\mscfg.dll
C:\WINDOWS\mscfg.dll
C:\1144089266.txt
C:\1143282193.txt
C:\1143219881.txt
C:\data

PC neustarten

3.
wende noch mal Cleanup im Normalmodus an , dann den PC neustarten

4.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2006, 17:33
Member

Themenstarter

Beiträge: 80
#13 Hallo Sabina, bin grad' bei nummer2;-Delete on Reboot angehackt-klicke auf das Rote Kreuz>er sagt mir ich soll den file einfügen den ich löschen möchte.. Was mach' ich jetzt?.
--------
CleanUp ist durch.
-----Im Hintergrund lief der AntiVir, ist jetzt fertig geworden, ich füge noch das Log von bei, ok..


Erstellungsdatum der Reportdatei: Sonntag, 30. April 2006 12:00


Job Name: 'Lokale Festplatten'

Es wird nach 370268 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: NAME-71F04C3E98

Versionsinformationen:
AVSCAN.EXE : 7.0.0.30 536616 26.04.2006 10:31:33
AVSCAN.DLL : 7.0.0.30 53288 26.04.2006 10:31:33
LUKE.DLL : 7.0.0.30 114728 26.04.2006 10:31:35
LUKERES.DLL : 7.0.0.30 32768 26.04.2006 10:31:35
ANTIVIR0.VDF : 6.32.0.60 4323840 06.12.2005 09:47:34
ANTIVIR1.VDF : 6.34.0.209 1930240 26.04.2006 10:31:35
ANTIVIR2.VDF : 6.34.1.1 89600 26.04.2006 10:31:35
ANTIVIR3.VDF : 6.34.1.24 38912 30.04.2006 09:25:59
AVEWIN32.DLL : 7.0.0.8 1171968 26.04.2006 10:31:36
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 11:05:54
AVREP.DLL : 6.34.1.20 2371624 28.04.2006 21:17:36
AVPACK32.DLL : 7.0.0.4 335912 26.04.2006 10:31:36
AVREG.DLL : 6.31.0.90 27688 28.07.2005 09:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 06:56:48
NETNW.DLL : 6.32.0.0 9768 27.09.2005 06:56:48


Beginn des Suchlaufs: Sonntag, 30. April 2006 12:00


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:'
[HINWEIS] Es wurde kein Virus gefunden!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

Die Registry wurde durchsucht ( 77 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Corporation\VAIO Entertainment Platform\1.0\VzCdb\VzCdb_Mgr.ldf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Corporation\VAIO Entertainment Platform\1.0\VzCdb\VzCdb_Mgr.mdf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Svetlana\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Svetlana\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\50exssd32a.exe
[FUND] Ist das Trojanische Pferd TR/Ddr.MedBot.B.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98bd6.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\51exssd32a.exe
[FUND] Ist das Trojanische Pferd TR/Ddr.MedBot.B.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98bda.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\56exmodul32.exe
[FUND] Ist das Trojanische Pferd TR/Spambot.AZ.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98be1.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\56exssd32a.exe
[FUND] Ist das Trojanische Pferd TR/Ddr.MedBot.B.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98be3.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\68exmodulbk.exe
[FUND] Ist das Trojanische Pferd TR/Proxy.Horst.AI
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98be7.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\68exssd32a.exe
[FUND] Ist das Trojanische Pferd TR/Ddr.MedBot.B.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98be9.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\78exmodul32.exe
[FUND] Enthält Signatur des Wurmes WORM/IRCB.47104.2.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98beb.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\82exssd32a.exe
[FUND] Ist das Trojanische Pferd TR/Ddr.MedBot.B.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98be6.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\84exmodul32.exe
[FUND] Enthält Signatur des Wurmes WORM/IRCB.47104.2.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98bea.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\84exssd32a.exe
[FUND] Ist das Trojanische Pferd TR/Ddr.MedBot.B.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98bec.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\87exssd32a.exe
[FUND] Ist das Trojanische Pferd TR/Ddr.MedBot.B.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98bf1.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\90exmodul32.exe
[FUND] Enthält Signatur des Wurmes WORM/IRCB.47104.2.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98bee.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\94exssd32a.exe
[FUND] Ist das Trojanische Pferd TR/Ddr.MedBot.B.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98bf4.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\98exmodul32.exe
[FUND] Enthält Signatur des Wurmes WORM/IRCB.47104.2.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98bfa.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\99exmodul32.exe
[FUND] Ist das Trojanische Pferd TR/Spambot.AZ.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98bfd.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\99exssd32a.exe
[FUND] Ist das Trojanische Pferd TR/Ddr.MedBot.B.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b98bff.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\install.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44c78d04.qua' verschoben!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\Perflib_Perfdata_cdc.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\tmp1.tmp
[FUND] Enthält Signatur des Wurmes WORM/Medbot.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44c48d05.qua' verschoben!
C:\Programme\eMule\Incoming\Symantec Norton 2005 Key Generators ( antivirus - systemworks - internet security)\Symantec Norton 2005 Key Generators ( antivirus - systemworks - internet security )\Systemworks 2005 Key Generator\KEY GENERATOR.EXE
[FUND] Ist das Trojanische Pferd TR/Dldr.Delf.BR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44add316.qua' verschoben!
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Data\master.mdf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Data\mastlog.ldf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Data\model.mdf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Data\modellog.ldf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Data\tempdb.mdf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Data\templog.ldf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\NORTON 2006 - SystemWorks _Internet Security\NORTON 2005 - SystemWorks + Internet Security + Ghost 9.0 + GoBack + ALL KEYGENS\NORTON KEY-GENERATORS\KeyGens Norton 2005\NSW 2005 - Keygen SSG.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Delf.BR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44abd527.qua' verschoben!
C:\Programme\NORTON 2006 - SystemWorks _Internet Security\NORTON 2005 - SystemWorks + Internet Security + Ghost 9.0 + GoBack + ALL KEYGENS\Norton SystemWorks 2005\KEY-GENERATOR NSW 2005\NSW 2005 - Keygen SSG.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Delf.BR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44abd564.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP211\A0034426.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aht.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6b4.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP211\A0034427.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aht.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6b8.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP212\A0034445.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6bb.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP212\A0034447.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6be.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP212\A0034457.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6c1.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP212\A0034459.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6c4.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP213\A0034467.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6c7.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP213\A0034469.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6ca.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP213\A0034476.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6cc.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP213\A0034486.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6cf.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP213\A0034488.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6d1.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP216\A0034578.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6e2.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP216\A0034581.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6f0.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP216\A0034600.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6f5.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP217\A0035632.dll
[FUND] Ist das Trojanische Pferd TR/Drop.Vstori.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d6fb.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP219\A0035689.EXE
[FUND] Ist das Trojanische Pferd TR/Dldr.Delf.BR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d724.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP219\A0035691.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Delf.BR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d727.qua' verschoben!
C:\System Volume Information\_restore{E895C312-F1D7-4F63-B5B3-B26DD2D11986}\RP219\A0035692.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Delf.BR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4484d72a.qua' verschoben!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\spool\drivers\install.exe
[FUND] Enthält Signatur des Wurmes WORM/Medbot.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44c7da1e.qua' verschoben!
C:\WINDOWS\Temp\JET949A.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\Perflib_Perfdata_100.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 30. April 2006 17:40
Benötigte Zeit: 5:40:12 min

Der Suchlauf wurde vollständig durchgeführt.

4618 Verzeichnisse wurden überprüft
185211 Dateien wurden geprüft
40 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
40 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
7627 Archive wurden durchsucht
71 Warnungen
2 Hinweise



-------------
Ich starte den Pc jetzt neu und komme zu nummer 4.
bleibt dann nur noch die sache mit dem Killbox..
Dieser Beitrag wurde am 30.04.2006 um 17:59 Uhr von lana.. editiert.
Seitenanfang Seitenende
30.04.2006, 22:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 **
fuehre die killbox aus,dann den PC neustarten

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
wende noch mal CleanUp an, dann den PC neustarten und

**
scanne mit kaspersky
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2006, 22:11
Member

Themenstarter

Beiträge: 80
#15 Kasperski:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, April 30, 2006 10:06:41 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 30/04/2006
Kaspersky Anti-Virus database records: 179277
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 55279
Number of viruses found: 2
Number of infected objects: 9
Number of suspicious objects: 0
Duration of the scan process: 00:44:05

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\16exmscfgl.exe Infected: Trojan-Dropper.Win32.Agent.ans skipped
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\33exmscfgl.exe Infected: Trojan-Dropper.Win32.Agent.ans skipped
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\56exmscfgl.exe Infected: Trojan-Dropper.Win32.Agent.ans skipped
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\63exmscfgl.exe Infected: Trojan-Dropper.Win32.Agent.ans skipped
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\67exmscfgl.exe Infected: Trojan-Dropper.Win32.Agent.ans skipped
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\85exmscfgl.exe Infected: Trojan-Dropper.Win32.Agent.ans skipped
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\88exmscfgl.exe Infected: Trojan-Dropper.Win32.Agent.ans skipped
C:\Dokumente und Einstellungen\Svetlana\Lokale Einstellungen\Temp\8exmscfgl.exe Infected: Trojan-Dropper.Win32.Agent.ans skipped
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1F182F96.exe Infected: Trojan-Downloader.Win32.Agent.ajd skipped

Scan process completed.



------------------------------------------------------------

Zitat

Sabina postete
**
fuehre die killbox aus,dann den PC neustarten
Sorry, aber ich verstehe immer noch nicht, was ich ihm sagen soll,was er löschen muss
Dieser Beitrag wurde am 30.04.2006 um 22:20 Uhr von lana.. editiert.
Seitenanfang Seitenende