Was für ein Virus und wie krieg ich Ihn weg?

#31 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten -> poste die logs
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\bhrax1.dll
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\4.tmp
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\MFPL7014.DLL
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\mso27B7C.xls
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\VBE

-------------------------------------------------------------------------

Verzeichnis von C:\WINDOWS\Temp

loesche alles:

10.07.2006 13:59 <DIR> .
10.07.2006 13:59 <DIR> ..
09.07.2006 22:22 <DIR> tmp000001da
09.07.2006 17:13 <DIR> tmp0000155a
09.07.2006 11:46 <DIR> tmp00001aae
09.07.2006 12:02 <DIR> tmp00002731
09.07.2006 20:32 <DIR> tmp00002d98
09.07.2006 23:27 <DIR> tmp0000333e
10.07.2006 10:45 <DIR> tmp00003a71
10.07.2006 08:06 <DIR> tmp00004075
08.07.2006 20:10 <DIR> tmp00004e1d
10.07.2006 13:58 <DIR> tmp00004e57
08.07.2006 17:25 <DIR> tmp00005084
10.07.2006 08:29 <DIR> tmp0000525e
08.07.2006 17:34 <DIR> tmp000056df
08.07.2006 17:45 <DIR> tmp00005f2c
08.07.2006 15:06 <DIR> tmp0000660b
09.07.2006 13:27 <DIR> tmp0000687e
09.07.2006 13:30 <DIR> tmp00006aac
08.07.2006 15:22 <DIR> tmp000071a9
08.07.2006 23:51 <DIR> tmp000077d9

---------------------------------------------------------

arbeite das ab und poste, was gefunden wurde:
http://virus-protect.org/regrun.html
__________
MfG Sabina

rund um die PC-Sicherheit

#32 So, hab alles gemacht, aber die Datei C:\WINDOWS\bhrax1.dll sehe ich nicht.

Entweder bin ich blind oder blöd oder beides.

Auf jeden Fall ist sie nirgends zu sehen.

Hab aber kopiert und das war nun das Ergebnis:

STATUS: FINISHEDComplete scanning result of "bhrax1.dll", received in VirusTotal at 07.10.2006, 18:51:19 (CET).

Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
F-Prot4 n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
packers: UPX, RAR, embedded

STATUS: FINISHEDComplete scanning result of "4.tmp", received in VirusTotal at 07.10.2006, 18:00:15 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.21 07.10.2006 no virus found
Authentium 4.93.8 07.07.2006 no virus found
Avast 4.7.844.0 07.10.2006 no virus found
AVG 386 07.10.2006 no virus found
BitDefender 7.2 07.10.2006 no virus found
CAT-QuickHeal 8.00 07.10.2006 no virus found
ClamAV devel-20060426 07.10.2006 no virus found
DrWeb 4.33 07.10.2006 no virus found
eTrust-InoculateIT 23.72.64 07.09.2006 no virus found
eTrust-Vet 12.6.2293 07.10.2006 no virus found
Ewido - 07.10.2006 no virus found
Fortinet 2.77.0.0 07.10.2006 no virus found
F-Prot 3.16f 07.07.2006 no virus found
F-Prot4 4.2.1.29 07.07.2006 no virus found
Ikarus 0.2.65.0 07.10.2006 no virus found
Kaspersky 4.0.2.24 07.10.2006 no virus found
McAfee 4802 07.07.2006 no virus found
Microsoft 1.1481 07.10.2006 no virus found
NOD32v2 1.1652 07.10.2006 no virus found
Norman 5.90.23 07.10.2006 no virus found
Panda 9.0.0.4 07.10.2006 no virus found
Sophos 4.07.0 07.10.2006 no virus found
Symantec 8.0 07.10.2006 no virus found
TheHacker 5.9.8.171 07.10.2006 no virus found
UNA 1.83 07.08.2006 no virus found
VBA32 3.11.0 07.09.2006 no virus found
VirusBuster 4.3.7:9 07.10.2006 no virus found


Aditional Information
File size: 16384 bytes
MD5: 679672a5004e0af50529f33db5469699
SHA1: 427a4ec3281c9c4faeb47a22ffbe7ca3e928afb0


STATUS: FINISHEDComplete scanning result of "MFPL7014.DLL", received in VirusTotal at 07.10.2006, 18:00:58 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.21 07.10.2006 no virus found
Authentium 4.93.8 07.07.2006 no virus found
Avast 4.7.844.0 07.10.2006 no virus found
AVG 386 07.10.2006 no virus found
BitDefender 7.2 07.10.2006 no virus found
CAT-QuickHeal 8.00 07.10.2006 no virus found
ClamAV devel-20060426 07.10.2006 no virus found
DrWeb 4.33 07.10.2006 no virus found
eTrust-InoculateIT 23.72.64 07.09.2006 no virus found
eTrust-Vet 12.6.2293 07.10.2006 no virus found
Ewido - 07.10.2006 no virus found
Fortinet 2.77.0.0 07.10.2006 no virus found
F-Prot 3.16f 07.07.2006 no virus found
F-Prot4 4.2.1.29 07.07.2006 no virus found
Ikarus 0.2.65.0 07.10.2006 no virus found
Kaspersky 4.0.2.24 07.10.2006 no virus found
McAfee 4802 07.07.2006 no virus found
Microsoft 1.1481 07.10.2006 no virus found
NOD32v2 1.1652 07.10.2006 no virus found
Norman 5.90.23 07.10.2006 no virus found
Panda 9.0.0.4 07.10.2006 no virus found
Sophos 4.07.0 07.10.2006 no virus found
Symantec 8.0 07.10.2006 no virus found
TheHacker 5.9.8.171 07.10.2006 no virus found
UNA 1.83 07.08.2006 no virus found
VBA32 3.11.0 07.09.2006 no virus found
VirusBuster 4.3.7:9 07.10.2006 no virus found


Aditional Information
File size: 917504 bytes
MD5: b414d4ba7bfb6218ae6b224b46c81d60
SHA1: 8282c38c13b477fbb2f3cc2a9d5ab2d4569e47a1

STATUS: FINISHEDComplete scanning result of "mso27B7C.xls", received in VirusTotal at 07.10.2006, 18:00:57 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.21 07.10.2006 no virus found
Authentium 4.93.8 07.07.2006 no virus found
Avast 4.7.844.0 07.10.2006 no virus found
AVG 386 07.10.2006 no virus found
BitDefender 7.2 07.10.2006 no virus found
CAT-QuickHeal 8.00 07.10.2006 no virus found
ClamAV devel-20060426 07.10.2006 no virus found
DrWeb 4.33 07.10.2006 no virus found
eTrust-InoculateIT 23.72.64 07.09.2006 no virus found
eTrust-Vet 12.6.2293 07.10.2006 no virus found
Ewido - 07.10.2006 suspicious
Fortinet 2.77.0.0 07.10.2006 no virus found
F-Prot 3.16f 07.07.2006 no virus found
F-Prot4 4.2.1.29 07.07.2006 no virus found
Ikarus 0.2.65.0 07.10.2006 no virus found
Kaspersky 4.0.2.24 07.10.2006 no virus found
McAfee 4802 07.07.2006 no virus found
Microsoft 1.1481 07.10.2006 no virus found
NOD32v2 1.1652 07.10.2006 no virus found
Norman 5.90.23 07.10.2006 no virus found
Panda 9.0.0.4 07.10.2006 no virus found
Sophos 4.07.0 07.10.2006 no virus found
Symantec 8.0 07.10.2006 no virus found
TheHacker 5.9.8.171 07.10.2006 no virus found
UNA 1.83 07.08.2006 no virus found
VBA32 3.11.0 07.09.2006 no virus found
VirusBuster 4.3.7:9 07.10.2006 no virus found


Aditional Information
File size: 549376 bytes
MD5: d00aee43a65b1eb9774b7c51dac36f32
SHA1: 919711afef17920163c71117b57b88c785e56e87


STATUS: FINISHEDComplete scanning result of "MSForms.exd", received in VirusTotal at 07.10.2006, 18:01:05 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.21 07.10.2006 no virus found
Authentium 4.93.8 07.07.2006 no virus found
Avast 4.7.844.0 07.10.2006 no virus found
AVG 386 07.10.2006 no virus found
BitDefender 7.2 07.10.2006 no virus found
CAT-QuickHeal 8.00 07.10.2006 no virus found
ClamAV devel-20060426 07.10.2006 no virus found
DrWeb 4.33 07.10.2006 no virus found
eTrust-InoculateIT 23.72.64 07.09.2006 no virus found
eTrust-Vet 12.6.2293 07.10.2006 no virus found
Ewido - 07.10.2006 suspicious
Fortinet 2.77.0.0 07.10.2006 no virus found
F-Prot 3.16f 07.07.2006 no virus found
F-Prot4 4.2.1.29 07.07.2006 no virus found
Ikarus 0.2.65.0 07.10.2006 no virus found
Kaspersky 4.0.2.24 07.10.2006 no virus found
McAfee 4802 07.07.2006 no virus found
Microsoft 1.1481 07.10.2006 no virus found
NOD32v2 1.1652 07.10.2006 no virus found
Norman 5.90.23 07.10.2006 no virus found
Panda 9.0.0.4 07.10.2006 no virus found
Sophos 4.07.0 07.10.2006 no virus found
Symantec 8.0 07.10.2006 no virus found
TheHacker 5.9.8.171 07.10.2006 no virus found
UNA 1.83 07.08.2006 no virus found
VBA32 3.11.0 07.09.2006 no virus found
VirusBuster 4.3.7:9 07.10.2006 no virus found


Aditional Information
File size: 147268 bytes
MD5: 01f197f0f0083adb587e3abfa317bd14
SHA1: 0164e09f95db081f9df0d85c179a2917f0ed7329

STATUS: FINISHEDComplete scanning result of "RefEdit.exd", received in VirusTotal at 07.10.2006, 18:02:06 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.21 07.10.2006 no virus found
Authentium 4.93.8 07.07.2006 no virus found
Avast 4.7.844.0 07.10.2006 no virus found
AVG 386 07.10.2006 no virus found
BitDefender 7.2 07.10.2006 no virus found
CAT-QuickHeal 8.00 07.10.2006 no virus found
ClamAV devel-20060426 07.10.2006 no virus found
DrWeb 4.33 07.10.2006 no virus found
eTrust-InoculateIT 23.72.64 07.09.2006 no virus found
eTrust-Vet 12.6.2293 07.10.2006 no virus found
Ewido - 07.10.2006 suspicious
Fortinet 2.77.0.0 07.10.2006 no virus found
F-Prot 3.16f 07.07.2006 no virus found
F-Prot4 4.2.1.29 07.07.2006 no virus found
Ikarus 0.2.65.0 07.10.2006 no virus found
Kaspersky 4.0.2.24 07.10.2006 no virus found
McAfee 4802 07.07.2006 no virus found
Microsoft 1.1481 07.10.2006 no virus found
NOD32v2 1.1652 07.10.2006 no virus found
Norman 5.90.23 07.10.2006 no virus found
Panda 9.0.0.4 07.10.2006 no virus found
Sophos 4.07.0 07.10.2006 no virus found
Symantec 8.0 07.10.2006 no virus found
TheHacker 5.9.8.171 07.10.2006 no virus found
UNA 1.83 07.08.2006 no virus found
VBA32 3.11.0 07.09.2006 no virus found
VirusBuster 4.3.7:9 07.10.2006 no virus found


Aditional Information
File size: 15040 bytes
MD5: 1c669cd88c8351e5a800da44c01dbbca
SHA1: bf316d0af0538bd857b80bd9a226ef64572a0fc9

Mit regrun hatte ich so meine Schwierigkeiten, hoffe, das ich es richtig gemacht habe:

C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll <--suspicious
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" <--suspicious
C:\Programme\ewido anti-spyware 4.0\guard.exe <--suspicious
C:\Programme\Gemeinsame Dateien\System\aiG.exe <--suspicious
C:\Programme\Softwin\BitDefender8\vsserv.exe /service <--suspicious
"C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service <--suspicious
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog <--suspicious
C:\Programme\Softwin\BitDefender8\\bdoesrv.exe <--suspicious
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray <--suspicious
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe <--suspicious
"C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized <--suspicious
C:\PROGRAMME\SOFTWIN\BITDEFENDER8\BDOESRV.EXE <--suspicious
C:\PROGRAMME\SOFTWIN\BITDEFENDER8\FILESPY.SYS <--warnings
C:\PROGRAMME\SOFTWIN\BITDEFENDER8\REGSPY.SYS <--warnings

MfG
J-L

#33 ueberpruefe: mit virustotal

C:\Programme\Gemeinsame Dateien\System\aiG.exe

dann scanne alle Dateien noch eimal aber mit jotti
http://virusscan.jotti.org/de/
__________
MfG Sabina

rund um die PC-Sicherheit

#34 C:\WINDOWS\bhrax1.dll
und
C:\Programme\Gemeinsame Dateien\System\aiG.exe

kann ich beide nicht finden.Wenn ich auf durchsuchen gehe und mir alles anschaue, dann sind diese beiden Dateien nicht da???

Alle anderen Dateienkann ich eingeben und alles negativ, aber bei den oben genannten Dateien, wenn ich das dann mit Copy und Paste mache, dann erscheint bei Jotti folgendes:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

#35 Dann laedst du eScan - erstelle vorher einen Ordner C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)

Start - Ausfuehren - %temp%

Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Gehe unbedingt in den abgesicherten Modus (!)

suche "mwav.exe und starte so den eScan. Alle Häkchen setzen und "Clean-Scan" klicken.
Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was gefunden wurde
__________
MfG Sabina

rund um die PC-Sicherheit

#36 Hallo, hab heute nacht weder die Datei kavupd.exe noch die Datei mwav.exe gefunden.

Dafür hab ich im abgesicherten Zustand mal einen Scan mit Escan gemacht, die ich allerdings leider nicht sichern konnte, sonst hätte ich das ganze gepostet.
Allerdings hatte Escan 22 Viren gefunden.

Und wenn ich im normalen Modus einen Scan starte wird der PC immer langsamer und stürzt dann irgendwann ab.

#37 nun, kannst du hier nicht den Pfad der Viren aus dem scanreport abkopieren ??? kopiere den Text in eine txt-Datei und speicher sie ab.

p.s.
der escan vertreagt sich nicht mit anderen Virenscannern, deshalb solltest du im abgesicherten Modus alles loeschen lassen, was moeglich und das proggie wieder desinstallieren. der scanreport (die Pfade der Viren interessieren mich jedoch sehr, poste sie hier, bevor du alles desinstallierst.)
__________
MfG Sabina

rund um die PC-Sicherheit

#38 Das ist das Problem, er hat zwar gescannt, aber hat nichts gemacht, da ich das Programm erst kaufen müsste.

Und er hat zwar gesagt, das Viren vorhanden waren, aber auch keine Pfade angegeben.

Kopieren in eine Textdatei hab ich versucht, ging aber nicht.Und alles abschreiben war ich zu müde heute morgen.Es war auch schon halb 6 .

#39 o.k. scanne mit Kaspersky, hat die gleiche Energie und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#40 -------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, July 11, 2006 4:25:49 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 11/07/2006
Kaspersky Anti-Virus database records: 194189
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 55709
Number of viruses found: 0
Number of infected objects: 0 / 0
Number of suspicious objects: 0
Duration of the scan process: 01:26:57

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\Stromi\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\Stromi\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\Stromi\NTUSER.DAT.LOG Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\chandir.dat Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\chandir.idx Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\chn.dat Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\chn.idx Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\D0000000.FCS Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\inuse.txt Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\L0000002.FCS Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\main.log Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\prs.dat Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\prs.idx Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\prs_die.dat Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\prs_die.idx Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\prs_dnd.dat Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\prs_dnd.idx Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\prs_ext.dat Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\prs_ext.idx Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\prs_rcv.dat Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\prs_rcv.idx Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\storydb.dat Object is locked skipped
C:\Programme\Desktop Messenger\8876480\Users\Stromi\Data\storydb.idx Object is locked skipped
C:\Programme\Gemeinsame Dateien\System\Gjn.exe Object is locked skipped
C:\Programme\Gemeinsame Dateien\System\KNk.exe Object is locked skipped
C:\Programme\Gemeinsame Dateien\System\LLDlXM.exe Object is locked skipped
C:\Programme\Gemeinsame Dateien\System\qoE.exe Object is locked skipped
C:\Programme\Gemeinsame Dateien\System\Rgbt.exe Object is locked skipped
C:\Programme\Gemeinsame Dateien\System\wFd.exe Object is locked skipped
C:\Programme\Gemeinsame Dateien\System\XsU.exe Object is locked skipped
C:\Programme\Softwin\BitDefender8\asdict.dat Object is locked skipped
C:\System Volume Information\catalog.wci\00000002.ps1 Object is locked skipped
C:\System Volume Information\catalog.wci\00000002.ps2 Object is locked skipped
C:\System Volume Information\catalog.wci\cicat.fid Object is locked skipped
C:\System Volume Information\catalog.wci\cicat.hsh Object is locked skipped
C:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiP10000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiP20000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiST0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\INDEX.000 Object is locked skipped
C:\System Volume Information\catalog.wci\propstor.bk1 Object is locked skipped
C:\System Volume Information\catalog.wci\propstor.bk2 Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP0\A0000001.exe Object is locked skipped
C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000002.exe Object is locked skipped
C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0001016.exe Object is locked skipped
C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0002020.exe Object is locked skipped
C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0003237.exe Object is locked skipped
C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\tmp00003711\tmp00000000 Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
E:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\change.log Object is locked skipped

Scan process completed.

#41 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\WINDOWS\Temp\tmp00003711" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\System" >>files.txt
notepad files.txt

mit virustotal ueberpruefen:

C:\Programme\Gemeinsame Dateien\System\Gjn.exe
C:\Programme\Gemeinsame Dateien\System\KNk.exe
C:\Programme\Gemeinsame Dateien\System\LLDlXM.exe
C:\Programme\Gemeinsame Dateien\System\qoE.exe
C:\Programme\Gemeinsame Dateien\System\Rgbt.exe
C:\Programme\Gemeinsame Dateien\System\wFd.exe
C:\Programme\Gemeinsame Dateien\System\XsU.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#42 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
07.10.2004 22:16 815 bitdefender.inf
07.10.2004 23:05 327.680 bitdefender.ocx
25.06.2003 19:00 541 ca.pub
17.01.2006 17:11 580.663 daas_s.dll
03.02.2006 11:20 188.416 fsauc.dll
16.06.2006 15:31 181.856 fscax.dll
15.06.2006 10:19 483 fscax.inf
12.07.2000 03:02 36.864 fxfileop.dll
04.03.2005 04:52 752 jinstall-1_5_0_02.inf
09.10.2003 10:32 144 QTPlugin.inf
29.06.2005 16:12 <DIR> rave
18.04.2003 20:11 6.638 ravllio.vxd
04.09.2003 14:33 167.936 ravscan.dll
04.09.2003 14:34 290.816 ravupdt.dll
05.03.2003 20:27 381 ravupdt.ini
02.12.2005 12:55 5.101 swflash.inf
31.10.2001 11:37 118 uninst.bat
29.06.2005 16:12 11.023 update.log
19 Datei(en) 1.935.932 Bytes
1 Verzeichnis(se), 4.473.438.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\Dokumente und Einstellungen\Stromi\Eigene Dateien

04.07.2006 16:18 <DIR> .
04.07.2006 16:18 <DIR> ..
26.10.2004 22:28 <DIR> Alle Handb�cher + Kurzanleitungen
08.01.2006 21:13 <DIR> Command & Conquer Gener„le Stunde Null Data
09.06.2005 17:51 <DIR> Command and Conquer Generals Data
28.10.2005 10:58 <DIR> Eigene Bilder
09.07.2006 12:15 <DIR> Eigene Musik
26.04.2006 08:34 <DIR> Eigene Wiedergabelisten
03.04.2006 20:15 <DIR> ICQ Lite
01.08.2005 21:50 <DIR> Meine empfangenen Dateien
14.01.2006 14:43 <DIR> My Skype Content
04.04.2006 10:53 <DIR> My Skype Pictures
19.06.2005 15:01 <DIR> My Skype Received Files
26.10.2004 23:09 <DIR> Nero Screensaver
26.10.2004 23:22 <DIR> Nero Wallpaper
27.06.2005 00:30 <DIR> NeroVision
17.07.2005 11:39 <DIR> The Incredibles
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 4.473.438.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp

10.07.2006 14:01 <DIR> .
10.07.2006 14:01 <DIR> ..
09.07.2006 19:54 16.384 4.tmp
09.07.2006 12:13 0 CacheInfo.dnl
09.07.2006 20:38 <DIR> F-Secure
10.07.2006 09:29 <DIR> hsperfdata_Stromi
27.02.2006 19:06 24.576 IadHide3.dll
10.07.2006 08:53 <DIR> IncrediMail
10.07.2006 10:54 2.678 jusched.log
09.07.2006 14:00 155 kb.log
10.07.2006 08:52 917.504 MFPL7014.DLL
09.07.2006 19:54 549.376 mso27B7C.xls
09.07.2006 21:42 <DIR> OnlineScanner
08.07.2006 18:02 <DIR> VBE
7 Datei(en) 1.510.673 Bytes
7 Verzeichnis(se), 4.473.438.208 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS\Temp

10.07.2006 13:59 <DIR> .
10.07.2006 13:59 <DIR> ..
09.07.2006 22:22 <DIR> tmp000001da
09.07.2006 17:13 <DIR> tmp0000155a
09.07.2006 11:46 <DIR> tmp00001aae
09.07.2006 12:02 <DIR> tmp00002731
09.07.2006 20:32 <DIR> tmp00002d98
09.07.2006 23:27 <DIR> tmp0000333e
10.07.2006 10:45 <DIR> tmp00003a71
10.07.2006 08:06 <DIR> tmp00004075
08.07.2006 20:10 <DIR> tmp00004e1d
10.07.2006 13:58 <DIR> tmp00004e57
08.07.2006 17:25 <DIR> tmp00005084
10.07.2006 08:29 <DIR> tmp0000525e
08.07.2006 17:34 <DIR> tmp000056df
08.07.2006 17:45 <DIR> tmp00005f2c
08.07.2006 15:06 <DIR> tmp0000660b
09.07.2006 13:27 <DIR> tmp0000687e
09.07.2006 13:30 <DIR> tmp00006aac
08.07.2006 15:22 <DIR> tmp000071a9
08.07.2006 23:51 <DIR> tmp000077d9
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 4.473.434.112 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\Temp

25.06.2006 12:45 <DIR> .
25.06.2006 12:45 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.473.434.112 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\Programme

08.07.2006 15:10 <DIR> .
08.07.2006 15:10 <DIR> ..
28.05.2005 16:51 <DIR> Adobe
13.10.2005 05:04 <DIR> Canon
08.07.2006 15:10 <DIR> CCleaner
07.07.2006 09:30 <DIR> CleanUp!
28.05.2005 16:32 <DIR> ComPlus Applications
27.02.2006 19:06 <DIR> Desktop Messenger
16.04.2006 16:56 <DIR> directx
02.07.2005 17:41 <DIR> ewido
06.07.2006 10:07 <DIR> ewido anti-spyware 4.0
26.04.2006 08:22 <DIR> Gemeinsame Dateien
08.03.2006 00:10 <DIR> Google
03.04.2006 20:15 <DIR> ICQLite
09.07.2006 14:17 <DIR> ICQToolbar
28.10.2005 14:08 <DIR> IncrediMail
28.05.2005 17:36 <DIR> Internet Explorer
14.03.2006 16:14 <DIR> iPod
14.03.2006 16:14 <DIR> iTunes
01.04.2006 09:07 <DIR> Java
27.02.2006 19:06 <DIR> Logitech
30.06.2005 10:48 <DIR> Messenger
28.05.2005 16:36 <DIR> microsoft frontpage
28.05.2005 16:33 <DIR> Movie Maker
13.04.2006 21:06 <DIR> Mozilla Firefox
28.05.2005 16:31 <DIR> MSN
28.05.2005 16:32 <DIR> MSN Gaming Zone
28.05.2005 16:33 <DIR> NetMeeting
28.05.2005 16:32 <DIR> Online Services
28.05.2005 16:34 <DIR> Online-Dienste
28.05.2005 16:33 <DIR> Outlook Express
14.03.2006 16:16 <DIR> QuickTime
28.05.2005 21:11 <DIR> SiS7012
28.05.2005 16:57 <DIR> Softwin
19.10.2005 12:33 <DIR> ThriXXX
10.04.2006 18:42 <DIR> Ubi Soft
30.10.2005 18:49 <DIR> VideoLAN
28.05.2005 16:36 <DIR> Windows Media Player
28.05.2005 16:31 <DIR> Windows NT
28.05.2005 16:36 <DIR> xerox
0 Datei(en) 0 Bytes
40 Verzeichnis(se), 4.473.434.112 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\Dokumente und Einstellungen\Stromi\Anwendungsdaten

07.10.2005 18:55 <DIR> Adobe
10.08.2005 19:36 <DIR> AdobeUM
20.10.2005 04:40 <DIR> Ahead
10.06.2006 14:02 <DIR> Apple Computer
26.04.2006 08:26 <DIR> DataLayer
08.09.2005 16:49 <DIR> Google
13.10.2005 05:05 <DIR> Help
03.04.2006 20:12 <DIR> ICQLite
28.05.2005 16:45 <DIR> Identities
27.04.2006 16:02 5 kc.tmp
02.08.2005 14:33 <DIR> Lavasoft
28.05.2005 17:46 <DIR> Macromedia
11.03.2006 23:31 <DIR> Mozilla
26.04.2006 08:37 <DIR> Nokia
26.04.2006 08:30 <DIR> Nokia Multimedia Player
26.04.2006 08:24 <DIR> PC Suite
16.06.2006 18:36 <DIR> Skype
28.05.2005 20:33 <DIR> Sun
11.03.2006 23:58 <DIR> Talkback
02.08.2005 01:17 <DIR> TuneUp Software
30.10.2005 18:50 <DIR> vlc
1 Datei(en) 5 Bytes
20 Verzeichnis(se), 4.473.430.016 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\Programme\Gemeinsame Dateien

26.04.2006 08:22 <DIR> .
26.04.2006 08:22 <DIR> ..
29.05.2005 13:59 <DIR> Adobe
28.05.2005 22:08 <DIR> Ahead
28.05.2005 17:10 <DIR> Designer
28.05.2005 16:33 <DIR> Dienste
27.02.2006 18:54 <DIR> InstallShield
28.05.2005 20:31 <DIR> Java
15.04.2006 10:59 <DIR> Logitech
29.05.2005 22:37 <DIR> Microsoft Shared
28.05.2005 16:33 <DIR> MSSoap
26.04.2006 08:22 <DIR> Nokia
28.05.2005 17:24 <DIR> ODBC
26.04.2006 08:22 <DIR> PCSuite
28.10.2005 12:49 <DIR> Softwin
28.05.2005 17:24 <DIR> SpeechEngines
12.04.2006 22:16 <DIR> SWF Studio
10.07.2006 13:59 <DIR> System
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 4.473.430.016 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\Windows\System32

08.07.2006 16:25 <DIR> .
08.07.2006 16:25 <DIR> ..
30.06.2005 10:55 611 $winnt$.inf
28.05.2005 18:19 <DIR> 1025
28.05.2005 18:19 <DIR> 1028
30.06.2005 12:40 <DIR> 1031
30.06.2005 12:37 <DIR> 1033
28.05.2005 18:19 <DIR> 1037
28.05.2005 18:19 <DIR> 1041
28.05.2005 18:19 <DIR> 1042
28.05.2005 18:19 <DIR> 1054
18.08.2001 16:00 2.151 12520437.cpx
18.08.2001 16:00 2.233 12520850.cpx
16.02.1998 03:00 481.792 1602Unst.exe
28.05.2005 18:19 <DIR> 2052
28.05.2005 18:19 <DIR> 3076
28.05.2005 18:19 <DIR> 3com_dmi
04.08.2004 00:57 100.352 6to4svc.dll
01.07.2002 18:10 115.864 a3d.dll
18.08.2001 16:00 26.624 aaaamon.dll
04.08.2004 00:58 70.656 access.cpl
18.08.2001 16:00 70.144 acctres.dll
04.08.2004 00:57 188.416 accwiz.exe
18.08.2001 16:00 61.952 acelpdec.ax
18.08.2001 16:00 136.704 acledit.dll
04.08.2004 00:57 120.320 aclui.dll
04.08.2004 00:57 194.560 activeds.dll
18.08.2001 16:00 111.104 activeds.tlb
06.07.2006 21:57 <DIR> ActiveScan
04.08.2004 00:57 4.096 actmovie.exe
04.08.2004 00:57 101.888 actxprxy.dll
29.08.2001 20:57 155.648 addurl41.DLL
04.08.2004 00:57 61.440 admparse.dll
29.05.2005 13:59 <DIR> Adobe
18.08.2001 16:00 26.112 adptif.dll
04.08.2004 00:57 175.616 adsldp.dll
04.08.2004 00:57 143.360 adsldpc.dll
04.08.2004 00:57 68.096 adsmsext.dll
18.08.2001 16:00 163.840 adsnds.dll
04.08.2004 00:57 263.680 adsnt.dll
18.08.2001 16:00 109.568 adsnw.dll
04.08.2004 00:57 677.888 advapi32.dll
04.08.2004 00:57 102.400 advpack.dll

#43 ich habe dir vergessen zu schreiben, dass sich bei jeder Anwendung einer bat-Datei alle bisherigen logs wiederholen.
poste also nur : (den letzten teil abkopieren)

C:\WINDOWS\Temp"
C:\WINDOWS\Temp\tmp00003711"
C:\Programme\Gemeinsame Dateien"
C:\Programme\Gemeinsame Dateien\System"
__________
MfG Sabina

rund um die PC-Sicherheit

#44 Verzeichnis von C:\WINDOWS\Temp

12.07.2006 12:36 <DIR> .
12.07.2006 12:36 <DIR> ..
11.07.2006 02:16 <DIR> tmp000000bb
11.07.2006 14:08 <DIR> tmp0000240c
12.07.2006 12:36 <DIR> tmp00002b66
10.07.2006 16:03 <DIR> tmp00002df9
11.07.2006 16:10 <DIR> tmp00003711
11.07.2006 03:40 <DIR> tmp00004358
11.07.2006 13:48 <DIR> tmp0000637a
10.07.2006 22:49 <DIR> tmp0000641d
10.07.2006 22:53 <DIR> tmp00006726
11.07.2006 01:52 <DIR> tmp00006c97
12.07.2006 02:56 <DIR> tmp00006f4e
11.07.2006 04:42 <DIR> tmp0000725a
0 Datei(en) 0 Bytes
14 Verzeichnis(se), 4.377.862.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\WINDOWS\Temp\tmp00003711

11.07.2006 16:10 <DIR> .
11.07.2006 16:10 <DIR> ..
11.07.2006 14:33 0 tmp00000000
1 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.377.862.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\Programme\Gemeinsame Dateien

11.07.2006 02:00 <DIR> .
11.07.2006 02:00 <DIR> ..
29.05.2005 13:59 <DIR> Adobe
28.05.2005 22:08 <DIR> Ahead
28.05.2005 17:10 <DIR> Designer
28.05.2005 16:33 <DIR> Dienste
27.02.2006 18:54 <DIR> InstallShield
28.05.2005 20:31 <DIR> Java
15.04.2006 10:59 <DIR> Logitech
29.05.2005 22:37 <DIR> Microsoft Shared
11.07.2006 02:00 <DIR> MicroWorld
28.05.2005 16:33 <DIR> MSSoap
26.04.2006 08:22 <DIR> Nokia
28.05.2005 17:24 <DIR> ODBC
26.04.2006 08:22 <DIR> PCSuite
28.10.2005 12:49 <DIR> Softwin
28.05.2005 17:24 <DIR> SpeechEngines
12.04.2006 22:16 <DIR> SWF Studio
12.07.2006 12:36 <DIR> System
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 4.377.862.144 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833

Verzeichnis von C:\Programme\Gemeinsame Dateien\System

12.07.2006 12:36 <DIR> .
12.07.2006 12:36 <DIR> ..
28.05.2005 16:33 <DIR> ado
04.08.2004 00:57 81.408 directdb.dll
06.07.2006 10:13 192.512 KNk.exe
28.05.2005 16:33 <DIR> msadc
28.05.2005 17:10 <DIR> Ole DB
07.07.2006 10:25 190.976 Rgbt.exe
04.08.2004 00:57 504.832 wab32.dll
04.08.2004 00:56 259.072 wab32res.dll
08.07.2006 00:56 192.512 wFd.exe
6 Datei(en) 1.421.312 Bytes
5 Verzeichnis(se), 4.377.862.144 Bytes frei

#45 **
was ist das ? der Kaspersky reklamiert es ........
C:\Programme\Desktop Messenger\8876480\Users\Stromi\

----------------------------------------------------------------------

wahrscheinlich wirst du nur die dunkel gezeichneten Dateien finden...ueberpruefe sie mit Jotti und virustotal

C:\Programme\Gemeinsame Dateien\System\Gjn.exe
C:\Programme\Gemeinsame Dateien\System\KNk.exe
C:\Programme\Gemeinsame Dateien\System\LLDlXM.exe
C:\Programme\Gemeinsame Dateien\System\qoE.exe
C:\Programme\Gemeinsame Dateien\System\Rgbt.exe
C:\Programme\Gemeinsame Dateien\System\wFd.exe
C:\Programme\Gemeinsame Dateien\System\XsU.exe

dann mache nicht lange Federlesen...denn das Datum faellt mit der verseuchung zusammen und loesche alle diese Dateien. (im agesicherten modus)

loesche auch :
C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\4.tmp

Verzeichnis von C:\WINDOWS\Temp
11.07.2006 02:16 <DIR> tmp000000bb
11.07.2006 14:08 <DIR> tmp0000240c
12.07.2006 12:36 <DIR> tmp00002b66
10.07.2006 16:03 <DIR> tmp00002df9
11.07.2006 16:10 <DIR> tmp00003711
11.07.2006 03:40 <DIR> tmp00004358
11.07.2006 13:48 <DIR> tmp0000637a
10.07.2006 22:49 <DIR> tmp0000641d
10.07.2006 22:53 <DIR> tmp00006726
11.07.2006 01:52 <DIR> tmp00006c97
12.07.2006 02:56 <DIR> tmp00006f4e
11.07.2006 04:42 <DIR> tmp0000725a

C:\WINDOWS\bhrax1.dll -> rechts-klick - dll umbenennen in old , dann versuchen zu loeschen


dann fixe den 017-Eintrag mit dem HijackThis und starte den Rechner neu + poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit