TR/Virut.A.2 , wie werd ich den wieder los?

#0
13.06.2006, 11:44
...neu hier

Beiträge: 4
#1 Den hat mein Anti Vir gefunden, kann den aber weder löschen, in Quarantäne schicken,
Zugriff verweigern oder ignorieren!

Hier mein Log:
Logfile of HijackThis v1.99.1
Scan saved at 11:17:57, on 12.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\setup\avast.setup
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
D:\Eigene Dateien\Eigene eBooks\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_3
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82B5E2CA-0C85-44F9-8D18-00BE06E7A8CE}: NameServer = 192.168.0.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

Hoffe ihr könnt mir helfen!
Seitenanfang Seitenende
13.06.2006, 17:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
scanne bitte noch mal-
kannst du hier den scanreport vom antivirus posten ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.06.2006, 01:10
...neu hier

Themenstarter

Beiträge: 4
#3 Hier mein Report:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 13. Juni 2006 00:26

Es wird nach 407059 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Trollkotze
Computername: PINBACK

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 09.02.2006 08:01:37
AVSCAN.DLL : 7.0.0.42 57384 09.02.2006 08:01:37
LUKE.DLL : 7.0.0.42 118824 09.02.2006 08:01:38
LUKERES.DLL : 7.0.0.42 32808 09.02.2006 08:01:38
ANTIVIR0.VDF : 6.35.0.1 7371264 09.02.2006 08:01:37
ANTIVIR1.VDF : 6.35.0.5 2048 09.02.2006 08:01:37
ANTIVIR2.VDF : 6.35.0.7 113664 09.02.2006 08:01:37
ANTIVIR3.VDF : 6.35.0.22 43520 09.02.2006 08:01:37
AVEWIN32.DLL : 7.1.0.10 1511936 09.02.2006 08:01:37
AVPREF.DLL : 7.0.0.1 53288 09.02.2006 08:01:37
AVREP.DLL : 6.35.0.2 659496 09.02.2006 08:01:37
AVRPBASE.DLL : 7.0.0.0 2162728 04.05.2006 15:45:37
AVPACK32.DLL : 7.1.0.1 335912 09.02.2006 08:01:37
AVREG.DLL : 6.31.0.90 27688 09.02.2006 08:01:37
NETNT.DLL : 6.32.0.0 6696 09.02.2006 08:01:38
NETNW.DLL : 6.32.0.0 9768 09.02.2006 08:01:38
RCIMAGE.DLL : 7.0.0.71 1642536 09.02.2006 08:01:39
RCTEXT.DLL : 7.0.0.75 77864 09.02.2006 08:01:39

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,D,A,E,F,K
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Dienstag, 13. Juni 2006 00:26


Der Suchlauf über gestartete Prozesse wird begonnen:
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
[FUND] Ist das Trojanische Pferd TR/Virut.A.2
[INFO] Die Datei wurde gelöscht.

Es wurden 36 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.

Die Registry wurde durchsucht ( 11 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Mozilla\Firefox\Profiles\dqi1jhss.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\call256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\callmember256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chat1024.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chat2048.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chat256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chat512.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chatmsg1024.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chatmsg16384.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chatmsg2048.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chatmsg256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chatmsg32768.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chatmsg4096.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chatmsg512.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\chatmsg8192.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\contactgroup256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\index2.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\profile16384.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\transfer256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\transfer512.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\user1024.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\user16384.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\user4096.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Anwendungsdaten\Skype\st_jay\voicemail256.dbb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Trollkotze\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\Perflib_Perfdata_748.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\_avast4_\Webshlock.txt
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Auf dem Datenträger befindet sich kein erkanntes Dateisystem.
Stellen Sie sicher, dass alle benötigten Dateisystemtreiber geladen sind und dass der Datenträger nicht beschädigt ist.

Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad K:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Dienstag, 13. Juni 2006 00:48
Benötigte Zeit: 22:18 min

Der Suchlauf wurde vollständig durchgeführt.

3476 Verzeichnisse wurden überprüft
112968 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
667 Archive wurden durchsucht
51 Warnungen
0 Hinweise
Seitenanfang Seitenende
14.06.2006, 03:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4

Zitat

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
[FUND] Ist das Trojanische Pferd TR/Virut.A.2
[INFO] Die Datei wurde gelöscht.
hier scheint der Antivirus ueber´s Ziel hinauszuschiessen ;) und bezeichnet den Avast als Trojaner...ein starkes Stueck !

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

berichte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende