Home » Viren, Trojaner & Malware Forum » Virus: Infostealer.Metafisher / System sauber? » Themenansicht
Virus: Infostealer.Metafisher / System sauber? |
||
|---|---|---|
| #0
| ||
|
14.05.2006, 21:44
Member
Beiträge: 32 |
||
 
|
|
|
|
14.05.2006, 21:59
Moderator
 Beiträge: 6466 |
#2
Zitat Wie kann ich sicher sein, dass dieser Virus keinen Schaden angerichtet hat, bzw. immer noch anrichtet?Du überprüfst Dein System an Hand folgender Angaben und schaust, ob es Anhaltszeichen gibt. Ein gefundener Schädling muss nicht zwangsläufig zur Asuführung gekommen sein. Er kann völlig passiv z.B in einem der Mail-Postfächer liegen. Ist er aber zur Ausführung gekommen, ist in diesem Fall weiterhin entscheident, ob Du für die Schwachstelle (WMF-Engine) bereits ein Patch eingespielt hattest oder nicht. Also viele offene Fragen  . Wie gesagt: überprüfe, ob div. Dateien/Registryeinträge darauf hinweisen, ob die malware überhaupt zur Ausführung kam. Bitte poste wenn vorhanden auch die Datei/Pfad in welcher Norton die Malware vermutet. Es müsste sich ursächlich eigentlich um ein Mail handeln.Erleichternd für uns kannst Du auch das unter http://board.protecus.de/t23188.htm beschriebene durchführen __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
|
|
|
|
14.05.2006, 23:02
Member
Themenstarter Beiträge: 32 |
#3
Danke für die rasche Antwort!
NAV hat den Virus unter folgendem Pfad gefunden: ...\Lokale Einstellungen\Temporary Internet Files\Content.IE5 Hier die erfoderlichen Logs: HijackThis Logfile of HijackThis v1.99.1 Scan saved at 22:26:39, on 14.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\Program Files\Launch Manager\CtrlVol.exe C:\Program Files\Launch Manager\Wbutton.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Eraser\eraser.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\Main-Account\Desktop\Antispyware\Hijackthis\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.com/de/files/rfscanax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{22DE1219-3252-408E-9DB0-35547388DBA4}: NameServer = 194.158.230.53,194.158.230.54 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe DatFind Datentr„ger in Laufwerk C: ist 65_01_31 Volumeseriennummer: ECAE-D346 Verzeichnis von C:\WINDOWS\system32 14.05.2006 22:45 41'102 vsconfig.xml 14.05.2006 20:39 1'158 wpa.dbl 04.05.2006 06:26 5'818'784 MRT.exe 20.04.2006 10:50 382'026 perfh009.dat 20.04.2006 10:50 53'770 perfc009.dat 20.04.2006 10:50 393'086 perfh007.dat 20.04.2006 10:50 64'848 perfc007.dat 20.04.2006 10:50 902'476 PerfStringBackup.INI 04.04.2006 21:24 4'212 zllictbl.dat 30.03.2006 11:26 1'492'480 shdocvw.dll 30.03.2006 03:16 18'944 xpsp3res.dll 23.03.2006 22:34 3'074'560 mshtml.dll 18.03.2006 13:09 615'424 urlmon.dll 17.03.2006 11:11 679'424 inetcomm.dll 17.03.2006 06:03 8'493'056 shell32.dll 17.03.2006 02:38 28'672 verclsid.exe 16.03.2006 11:34 71'448 zlcommdb.dll 16.03.2006 11:34 79'640 zlcomm.dll 16.03.2006 11:33 100'120 vsxml.dll 16.03.2006 11:33 382'744 vsutil.dll 16.03.2006 11:33 71'448 vsregexp.dll 16.03.2006 11:33 227'096 vspubapi.dll 16.03.2006 11:33 104'216 vsmonapi.dll 16.03.2006 11:33 141'080 vsinit.dll 16.03.2006 11:33 372'824 vsdatant.sys 16.03.2006 11:32 83'736 vsdata.dll 16.03.2006 11:16 54'960 vsutil_loc0407.dll 10.03.2006 06:09 5'533'696 wmp.dll 04.03.2006 05:34 664'064 wininet.dll 04.03.2006 05:34 474'624 shlwapi.dll 04.03.2006 05:34 532'480 mstime.dll 04.03.2006 05:34 146'432 msrating.dll 04.03.2006 05:34 448'512 mshtmled.dll 04.03.2006 05:34 39'424 pngfilt.dll 04.03.2006 05:34 205'312 dxtrans.dll 04.03.2006 05:34 96'768 inseng.dll 04.03.2006 05:34 55'808 extmgr.dll 04.03.2006 05:34 1'056'256 danim.dll 04.03.2006 05:34 251'392 iepeers.dll 04.03.2006 05:34 1'022'976 browseui.dll 04.03.2006 05:34 152'064 cdfview.dll 01.03.2006 21:43 956'416 msdtctm.dll 01.03.2006 21:43 66'560 mtxclu.dll 01.03.2006 21:43 11'776 xolehlp.dll 01.03.2006 21:43 426'496 msdtcprx.dll 01.03.2006 21:43 161'280 msdtcuiu.dll 01.03.2006 21:43 91'136 mtxoci.dll 14.02.2006 10:20 550'120 LegitCheckControl.dll 31.01.2006 15:35 91'904 S32EVNT1.DLL Datentr„ger in Laufwerk C: ist 65_01_31 Volumeseriennummer: ECAE-D346 Verzeichnis von C:\DOKUME~1\MAIN-A~1\LOKALE~1\Temp 14.05.2006 22:57 206 jusched.log 1 Datei(en) 206 Bytes 0 Verzeichnis(se), 16'179'879'936 Bytes frei Datentr„ger in Laufwerk C: ist 65_01_31 Volumeseriennummer: ECAE-D346 Verzeichnis von C:\WINDOWS 14.05.2006 22:45 4'236 ModemLog_Agere Systems AC'97 Modem.txt 14.05.2006 22:45 1'085'585 WindowsUpdate.log 14.05.2006 22:44 159 wiadebug.log 14.05.2006 22:44 50 wiaservc.log 14.05.2006 22:44 0 0.log 14.05.2006 22:44 2'048 bootstat.dat 14.05.2006 22:43 32'590 SchedLgU.Txt 14.05.2006 20:41 5'971 iis6.log 14.05.2006 20:41 12'422 comsetup.log 14.05.2006 20:41 14'154 tsoc.log 14.05.2006 20:41 7'528 ntdtcsetup.log 14.05.2006 20:41 2'052 ocmsn.log 14.05.2006 20:41 1'374 imsins.log 14.05.2006 20:41 11'613 KB913580.log 14.05.2006 20:41 17'496 ocgen.log 14.05.2006 20:41 1'854 msgsocm.log 14.05.2006 20:41 36'952 FaxSetup.log 14.05.2006 20:41 32'966 setupapi.log 14.05.2006 20:41 4'855 updspapi.log 11.05.2006 08:51 298 EDUBWL_C.INI 06.05.2006 00:25 206 HPGdiPlus.ini 05.05.2006 17:46 11'072 KB900485.log 03.05.2006 16:53 836 win.ini 02.05.2006 09:21 1'409 QTFont.for 02.05.2006 09:21 54'156 QTFont.qfn 02.05.2006 09:20 121 GEARInstall.log 18.04.2006 23:27 923 spupdsvc.log 18.04.2006 23:19 19'647 KB911565.log 18.04.2006 23:19 1'180 wmsetup.log 18.04.2006 23:18 17'302 KB911562.log 18.04.2006 23:18 18'666 KB912812.log 18.04.2006 23:18 11'459 KB908531.log 18.04.2006 23:17 10'610 KB911567.log 18.04.2006 23:17 0 setuperr.log 18.04.2006 23:17 0 setupact.log 12.02.2006 20:19 26 EduBWL.INI Datentr„ger in Laufwerk C: ist 65_01_31 Volumeseriennummer: ECAE-D346 Verzeichnis von C:\ 14.05.2006 22:59 0 sys.txt 14.05.2006 22:58 7'262 system.txt 14.05.2006 22:58 290 systemtemp.txt 14.05.2006 22:52 107'202 system32.txt 14.05.2006 22:44 792'723'456 pagefile.sys 07.01.2006 22:00 4 AVPCallback.log Danke bereits jetzt für weitere Tipps! Eventuell weisst du Rat, Sabina? Maravilha Dieser Beitrag wurde am 15.05.2006 um 14:48 Uhr von maravilha editiert.
|
|
|
|
|
|
|
15.05.2006, 15:36
Ehrenmitglied
 Beiträge: 29434 |
#4
maravilha
1. echo.zip entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip 2. fixe mit dem HijackThis O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.com/de/files/rfscanax.cab ----------------------------------------------------------------- 3. CleanUp anwenden http://virus-protect.org/cleanup.html 4.. Start > Programme > Zubehör > Systemprogramme > Datenträgerbereinigung #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k ------------ Zitat Domain name: ACTUALRESEARCH.COM __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
15.05.2006, 23:10
Member
Themenstarter Beiträge: 32 |
#5
Sabina
Danke! Hier der Inhalt aus echo.bat: 10)DPF???? Datentr„ger in Laufwerk C: ist 65_01_31 Volumeseriennummer: ECAE-D346 Verzeichnis von C:\WINDOWS\Downloaded Program Files 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 08.12.2005 16:29 652'736 fscax.dll 03.08.2005 17:33 577 kavwebscan.inf 26.08.2005 15:57 495 LegitCheckControl.inf 20.01.2000 15:25 1'162 Microsoft XML Parser for Java.osd 11.04.2005 19:19 152'576 rfscanax.dll 11.04.2005 20:34 217 rfscanax.inf 08.12.2003 13:58 3'759 swflash.inf 8 Datei(en) 812'219 Bytes Anzahl der angezeigten Dateien: 8 Datei(en) 812'219 Bytes 0 Verzeichnis(se), 16'206'495'744 Bytes frei Jetzt sieht der Log von HijackThis so aus: Logfile of HijackThis v1.99.1 Scan saved at 23:09:39, on 15.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Launch Manager\LaunchAp.exe C:\Program Files\Launch Manager\HotkeyApp.exe C:\Program Files\Launch Manager\CtrlVol.exe C:\Program Files\Launch Manager\Wbutton.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Eraser\eraser.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Main-Account\Desktop\Antispyware\Hijackthis\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{22DE1219-3252-408E-9DB0-35547388DBA4}: NameServer = 194.158.230.53,194.158.230.54 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe MfG Maravilha |
|
|
|
|
|
|
16.05.2006, 01:08
Ehrenmitglied
Beiträge: 29434 |
#6
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\Downloaded Program Files\rfscanax.dll poste das Ergebnis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.05.2006, 14:45
Member
Themenstarter Beiträge: 32 |
#7
Sabina
Ich konnte nur folgenden Pfad mit "Durchsuchen" in Virustotal eingeben: C:\WINDOWS\Downloaded Program Files Complete scanning result of "Downloaded_Program_Files", received in VirusTotal at 05.16.2006, 14:28:55 (CET). Antivirus Version Update Result AntiVir 6.34.1.27 05.16.2006 no virus found Avast 4.6.695.0 05.15.2006 no virus found AVG 386 05.15.2006 no virus found BitDefender 7.2 05.16.2006 no virus found CAT-QuickHeal 8.00 05.15.2006 no virus found ClamAV devel-20060426 05.16.2006 no virus found DrWeb 4.33 05.16.2006 no virus found eTrust-InoculateIT 23.72.9 05.16.2006 no virus found eTrust-Vet 12.4.2211 05.16.2006 no virus found Ewido 3.5 05.16.2006 no virus found Fortinet 2.76.0.0 05.16.2006 no virus found F-Prot 3.16c 05.15.2006 no virus found Ikarus 0.2.65.0 05.15.2006 no virus found Kaspersky 4.0.2.24 05.16.2006 no virus found McAfee 4762 05.15.2006 no virus found Microsoft 1.1372 05.16.2006 no virus found NOD32v2 1.1541 05.16.2006 no virus found Norman 5.90.17 05.16.2006 no virus found Panda 9.0.0.4 05.15.2006 no virus found Sophos 4.05.0 05.16.2006 no virus found Symantec 8.0 05.16.2006 no virus found TheHacker 5.9.7.143 05.15.2006 no virus found UNA 1.83 05.15.2006 no virus found VBA32 3.11.0 05.16.2006 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 Manuell habe ich noch folgenden Pfad eingegeben: C:\WINDOWS\Downloaded Program Files\rfscanax.dll Complete scanning result of "rfscanax.dll", received in VirusTotal at 05.16.2006, 14:34:08 (CET). Antivirus Version Update Result AntiVir 6.34.1.27 05.16.2006 no virus found Avast 4.6.695.0 05.15.2006 no virus found AVG 386 05.15.2006 no virus found BitDefender 7.2 05.16.2006 no virus found CAT-QuickHeal 8.00 05.15.2006 no virus found ClamAV devel-20060426 05.16.2006 no virus found DrWeb 4.33 05.16.2006 no virus found eTrust-InoculateIT 23.72.9 05.16.2006 no virus found eTrust-Vet 12.4.2211 05.16.2006 no virus found Ewido 3.5 05.16.2006 no virus found Fortinet 2.76.0.0 05.16.2006 no virus found F-Prot 3.16c 05.15.2006 no virus found Ikarus 0.2.65.0 05.15.2006 no virus found Kaspersky 4.0.2.24 05.16.2006 no virus found McAfee 4762 05.15.2006 no virus found Microsoft 1.1372 05.16.2006 no virus found NOD32v2 1.1541 05.16.2006 no virus found Norman 5.90.17 05.16.2006 no virus found Panda 9.0.0.4 05.15.2006 no virus found Sophos 4.05.0 05.16.2006 no virus found Symantec 8.0 05.16.2006 no virus found TheHacker 5.9.7.143 05.15.2006 no virus found UNA 1.83 05.15.2006 no virus found VBA32 3.11.0 05.16.2006 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 Zusatz: "Blacklight" hat keine "hidden processes" gefunden. MfG Maravilha Dieser Beitrag wurde am 16.05.2006 um 15:02 Uhr von maravilha editiert.
|
|
|
|
|
|
|
16.05.2006, 23:35
Ehrenmitglied
Beiträge: 29434 |
#8
loesche mit der Killbox:
http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes" reinkopieren: ............ C:\WINDOWS\Downloaded Program Files\rfscanax.dll pc neustarten ** Infostealer.Metafisher - gibt der norton im Protokoll den Pfad an ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.05.2006, 19:48
Member
Themenstarter Beiträge: 32 |
#9
Sabina
Killbox gab folgende Antwort, als ich den PC neu starten wollte: "PendingFileRenameOperations Registry Data has been Removed by External Process!" Der PC startet danach nicht neu. Folgender Pfad wurde im NAV für den Virus angegeben: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\... Maravilha |
|
|
|
|
|
|
18.05.2006, 10:52
Ehrenmitglied
Beiträge: 29434 |
#10
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k dann sollte wieder alles o.k. sein  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
19.05.2006, 21:28
Member
Themenstarter Beiträge: 32 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
NortonAntiVirus (NAV) hat auf meinen System folgenden Virus entdeckt:
Infostealer.Metafisher
In der Protokollanzeige von NAV heisst es (chronologisch):
1. Reparatur fehlgeschlagen
2. Zugriff verweigert
3. Automatisch gelöscht
Wie kann ich sicher sein, dass dieser Virus keinen Schaden angerichtet hat, bzw. immer noch anrichtet?
Besten Dank fürs Helfen!
MfG
Maravilha