Tr\srchspy.g Hiiiiilfe!!!

#1 Hallo!

Also ich bin neu hier.
Ich muss direkt vorweg schicken: ich habe von PCs nicht wirklich viel Ahnung.
Ich bin aber hier schon völlig verzweifelt.
Habe mir die Tage diesen Trojaner da oben eingefangen TR\srchspy.G
Mein Antivir hat ihn entdeckt, ich habe ihn gelöscht, aber bei jedem Neustart trat er neu auf.
Habe dann im Internet gesucht, hier ist ja auch schon Thread dazu, aber es hat nicht wirklich geholfen.
In dem Thread in diesem Forum steht, dass einer die aggressiven Einstellungen von Antivir benutzt hat, der Trojaner aber nur oberflächlich gelöscht wurde. Dann hätte er Kaspersky drüber laufen lassen und dann wars gut. Hab ich mir gedacht "machste es halt auch so" und tja, da hat mein Problem erst richtig angefangen.
Ich hab mir dann Kaspersky runtergeladen, musste, um es zu installieren, aber meinen ZoneAlarm entfernen. Dann wollte ich neustarten, und dann kam mein PC nicht mehr in Windows rein. Da kam dieses kleine Feld "Windows wird gestartet" und dann ist er aus und hat wieder von vorne angefangen zu booten und so.
Bin dann über den abgesichterten Modus rein, hab Kaspersky laufen lassen, der hat aber nix gefunden. Und klappen tut immer noch nix.

So ne Schei...!

Ich hoffe, es kann mir einer von euch helfen...

#2 arbeite das ab und kopiere hier die logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Klappt denn das auch alles im abgesicherten Modus? Weil anders komme ich nicht mehr rein...

#4 na klar, du sollst ja erst mal nur die logs hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 So, ich war gestern bei jemandem, der ein bißchen mehr Ahnung hat als ich, der hat mir erstmal das System wieder zum Laufen gebracht und dann haben wir AVG, Ad Aware und Spybot drüber laufen lassen. Zuletzt hat AVG dann nichts mehr gefunden, auch nicht nach einem Neustart (normalerweise hat Antivir den Trojaner ja nach jedem Neustart wieder entdeckt, aber Antivir haben wir runtergeschmissen). Ich bin mir jetzt nur nicht sicher, ob das Ding auch wirklich weg ist, deswegen hab ich mich an die Anleitung gehalten und poste hier mal die Logs. Hoffe, ihr könnt mir sagen, dass mein PC jetzt sauber ist...

Logfile of HijackThis v1.99.1
Scan saved at 11:22:42, on 27.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\TrayIcon.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\system32\internat.exe
C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Mario\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.betandwin.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINNT\System32\TrayIcon.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5 0190\fast.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138137964609
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://217.17.197.101/scripts/WDU_1251.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB14B185-63DE-4EB5-B3D8-B00E5A952FAA}: NameServer = 194.25.0.62,194.25.0.68
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 236D-17E4

Verzeichnis von C:\WINNT\system32

26.03.2006 14:55 134.872 FNTCACHE.DAT
18.03.2006 02:46 16.384 Perflib_Perfdata_3ac.dat
09.03.2006 16:21 4.799.320 MRT.exe
02.03.2006 23:43 2.264 qtplugin.log
26.02.2006 02:14 49.152 cdrtc.dll
26.02.2006 02:14 45.056 Cdral.dll


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 236D-17E4

Verzeichnis von C:\DOKUME~1\MARIOM~1\LOKALE~1\Temp

27.07.2006 11:58 54.272 ginstall.dll
27.07.2006 11:57 32.768 ~DFDD51.tmp
27.07.2006 11:57 512 ~DFDD56.tmp
27.07.2006 01:48 2.048.000 Acr3.tmp
26.07.2006 21:18 0 Acr2.tmp
26.07.2006 16:04 0 tmp2A.tmp
26.07.2006 16:04 0 tmp29.tmp
26.07.2006 15:59 448.303 avg7inst.log
25.07.2006 20:34 163.840 ~DF1EB.tmp
25.07.2006 16:10 0 tmpC.tmp
25.07.2006 16:10 0 tmpB.tmp
25.07.2006 16:06 61.484 MSI19.tmp
25.07.2006 15:58 5.851 plf10.tmp
25.07.2006 13:11 0 tmpA.tmp
25.07.2006 13:11 0 tmp9.tmp
25.07.2006 10:58 0 tmp7.tmp
25.07.2006 10:58 0 tmp8.tmp
24.07.2006 10:23 0 tmp6.tmp
24.07.2006 10:23 0 tmp5.tmp
23.07.2006 23:48 0 tmp4.tmp
23.07.2006 23:48 0 tmp3.tmp
23.07.2006 23:45 16.384 ~DF6450.tmp
23.07.2006 23:45 16.384 ~DF70B0.tmp
23.07.2006 23:44 31.232 tmpF.tmp
22.07.2006 21:47 16.384 ~DFE4FA.tmp

edit Sabina

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 236D-17E4

Verzeichnis von C:\WINNT

27.07.2006 12:06 1.112 win.ini
27.07.2006 11:57 282.036 hpoins07.log
27.07.2006 11:54 32.628 SchedLgU.Txt
27.07.2006 11:54 744.773 WindowsUpdate.log
27.07.2006 11:54 1.086.480 ShellIconCache
26.07.2006 21:01 2.694 ModemLog_Standard 300 bps Modem.txt
26.07.2006 21:01 1.573 ModemLog_Unbekanntes Modem.txt
26.07.2006 21:01 741 ModemLog_Telekom ISDN.txt
26.07.2006 15:48 134.500 ntbtlog.txt
26.07.2006 15:06 2.088 WINNT32.LOG
26.07.2006 15:06 551 UPGRADE.TXT
26.07.2006 15:06 111.130 setupact.log
26.07.2006 15:06 178 DHCPUPG.LOG
26.07.2006 15:06 705.083 setupapi.log
22.07.2006 17:24 190 WinOnCD.ini
22.07.2006 17:14 22.751 cddabase.ini
14.07.2006 23:18 3.595 WO4.INI
13.07.2006 15:37 2.056 ModemLog_Sony Ericsson W800 USB WMC Data Modem.txt
13.07.2006 15:37 2.051 ModemLog_Sony Ericsson W800 USB WMC Modem.txt


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 236D-17E4

Verzeichnis von C:\

27.07.2006 12:08 0 sys.txt
27.07.2006 12:07 10.871 system.txt
27.07.2006 12:07 46.353 systemtemp.txt
27.07.2006 12:06 101.329 system32.txt
27.07.2006 11:57 267.894.784 hiberfil.sys
27.07.2006 11:57 402.653.184 pagefile.sys
26.07.2006 16:49 5.362.624 AVG7QT.DAT

#6 1.
wende Cleanup an
http://virus-protect.org/cleanup.html

2.
wende combofix an (lasse vor allem die Datenbereinigung durchfuehren)
http://virus-protect.org/artikel/tools/combofix.html
poste das log
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Also beim Cleanup kann ich keinen Haken vor "Delete Prefetch files" machen, das Feld bleibt einfach grau. Habs aber mit dem Rest durchlaufen lassen.
Und der Log von Combofix kommt jetzt:

Start Time= Do 27.07.2006 15:29:13,28
Running from: C:\Dokumente und Einstellungen\Mario\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-07-27 13:09:56 ( .D... ) "C:\Programme\Zone Labs"
2006-07-27 11:37:56 ( .D... ) "C:\Programme\CleanUp!"
2006-07-26 16:23:34 ( .D... ) "C:\Programme\Spybot - Search & Destroy"
2006-07-26 16:10:22 ( .D... ) "C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\Lavasoft"
2006-07-26 16:10:12 ( .D... ) "C:\Programme\Lavasoft"
2006-07-26 15:59:08 ( .D... ) "C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\AVG7"
2006-07-26 15:58:42 ( .D... ) "C:\Programme\Grisoft"
2006-07-25 15:58:48 ( .D... ) "C:\Programme\doc"
2006-05-19 19:20:46 13733376 ( A.... ) "C:\Programme\kis6.0.0.300de.msi"
2006-05-19 19:04:58 13685 ( A.... ) "C:\Programme\release_notes.txt"
2006-02-01 16:52:46 5185880 ( A.... ) "C:\Programme\Firefox Setup 1.5.exe"
2005-12-20 20:13:30 11477288 ( A.... ) "C:\Programme\DivXPlay.exe"
2005-05-18 19:52:50 1145061 ( A.... ) "C:\Programme\wrar342d.exe"
2005-04-18 18:51:10 230 ( A.... ) "C:\Programme\HighScore.txt"
2005-04-18 18:50:56 0 ( A.... ) "C:\Programme\MHW.log"
2005-04-18 18:50:44 104 ( A.... ) "C:\Programme\Version"
2004-11-19 00:14:38 27278214 ( A.... ) "C:\Programme\MHW.dat"
2004-11-18 21:36:12 1544192 ( A.... ) "C:\Programme\MHW-XS.exe"
2004-08-01 18:33:06 5091 ( A.... ) "C:\Programme\License-XS.txt"
2004-07-29 16:41:12 639 ( A.... ) "C:\Programme\Hinweise-XS.txt"
2004-07-22 03:03:32 35904 ( A.... ) "C:\Programme\PPG-MHW.icl"
2004-07-20 16:24:46 29822 ( A.... ) "C:\Programme\MHW.ico"
2003-03-08 19:32:04 12378112 ( A.... ) "C:\Programme\nero551015a.exe"
2003-03-08 18:51:36 82500 ( A.... ) "C:\Programme\Nero_Burning_ROM_v5[1].5.10.0.zip"
2003-01-11 16:30:36 22080 ( ...H. ) "C:\Programme\folder.htt"
2003-01-11 16:30:36 271 ( ...H. ) "C:\Programme\desktop.ini"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-07-26 15:51 267.894.784 C:\hiberfil.sys
2006-06-28 16:43 8.976 C:\WINNT\system32\kbdjpn.dll
2006-06-28 16:43 7.440 C:\WINNT\system32\kbd106.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"DisplayTrayIcon"="C:\\WINNT\\System32\\TrayIcon.exe"
"HPAIO_PrintFolderMgr"="C:\\WINNT\\System32\\spool\\DRIVERS\\W32X86\\hpoopm07.exe"
"NeroCheck"="C:\\WINNT\\System32\\NeroCheck.exe"
"routcnf"="C:\\Programme\\Telekom\\Eumex 504PC USB\\routcnf.exe"
"AdaptecDirectCD"="\"C:\\Programme\\Roxio\\WinOnCD\\DirectCD\\DirectCD.exe\""
"PRISMSVR.EXE"="\"C:\\Programme\\T-Com\\Sinus 154 data II\\PRISMSVR.EXE\" /APPLY"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"YAW starten"="\"c:\\programme\\yaw 3.5 0190\\fast.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00002002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,99,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:c0000004
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""




Contents of the 'Scheduled Tasks' folder

Completion time: Do 27.07.2006 15:29:20,21
ComboFix ver 06.07.15/27 - This logfile is located at C:\ComboFix.txt

#8 scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hm, sieht Schei... aus...

Thursday, July 27, 2006 4:57:19 PM
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 27/07/2006
Kaspersky Anti-Virus database records: 197763


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics
Total number of scanned objects 81167
Number of viruses found 1
Number of infected objects 3 / 0
Number of suspicious objects 0
Duration of the scan process 00:52:53

Infected Object Name Virus Name Last Action
C:\WINNT\system32\config\software.LOG Object is locked skipped

C:\WINNT\system32\config\default.LOG Object is locked skipped

C:\WINNT\system32\config\SECURITY Object is locked skipped

C:\WINNT\system32\config\SECURITY.LOG Object is locked skipped

C:\WINNT\system32\config\SYSTEM.ALT Object is locked skipped

C:\WINNT\system32\config\SAM Object is locked skipped

C:\WINNT\system32\config\SAM.LOG Object is locked skipped

C:\WINNT\system32\config\SYSTEM Object is locked skipped

C:\WINNT\system32\config\SOFTWARE Object is locked skipped

C:\WINNT\system32\config\DEFAULT Object is locked skipped

C:\WINNT\system32\config\AppEvent.Evt Object is locked skipped

C:\WINNT\system32\config\SecEvent.Evt Object is locked skipped

C:\WINNT\system32\config\SysEvent.Evt Object is locked skipped

C:\WINNT\Debug\PASSWD.LOG Object is locked skipped

C:\WINNT\Debug\oakley.log Object is locked skipped

C:\WINNT\Debug\ipsecpa.log Object is locked skipped

C:\WINNT\SchedLgU.Txt Object is locked skipped

C:\WINNT\CSC\00000001 Object is locked skipped

C:\WINNT\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINNT\WindowsUpdate.log Object is locked skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prism\236d17e4 Object is locked skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7\Log\emc.log Object is locked skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft\Avg7Data\avg7log.log Object is locked skipped

C:\Dokumente und Einstellungen\Mario\NTUSER.DAT Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temp\~DFC326.tmp Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temp\~DFC33E.tmp Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temp\~DF785.tmp Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temp\~DF78F.tmp Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temp\~DF1EBE.tmp Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006072720060728\index.dat Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Dokumente und Einstellungen\Mario\Cookies\index.dat Object is locked skipped

C:\Dokumente und Einstellungen\Mario\ntuser.dat.LOG Object is locked skipped

C:\DACHDECKEREI\Software\schieferplaner.exe/setup.exe/rathscheck.exe Infected: Trojan-Spy.Win32.Banpaes.ar skipped

C:\DACHDECKEREI\Software\schieferplaner.exe/setup.exe Infected: Trojan-Spy.Win32.Banpaes.ar skipped

C:\DACHDECKEREI\Software\schieferplaner.exe ZIP: infected - 2 skipped

Scan process completed.

#10 1.
loesche mit der killbox:
http://virus-protect.org/killbox.html

C:\DACHDECKEREI\Software\schieferplaner.exe/setup.exe/rathscheck.exe
C:\DACHDECKEREI\Software\schieferplaner.exe/setup.exe
C:\DACHDECKEREI\Software\schieferplaner.exe

PC neustarten

2.
multiavtool.
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie,

----------------------------------

* klicke "1" nun beginnt der Scan von Sophos
* klicke "2" , nun beginnt der Scan von Trend Micro
poste dann auch diese Reports
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Ich hab die 3 Pfade da gelöscht.

Aber bei dem multiavtool hab ich ein Problem:
Wenn ich das entzippe, dann entzippt der alles einzeln. Ich weiß dann nicht, wo ich drauf muss, damit ich diese "3" irgendwo eintippen kann!?

#12 einfach den Pfeil nach unten benutzen (rechts in der Tastatur)
so kannst du das Menue bedienen.


__________
MfG Sabina

rund um die PC-Sicherheit

#13 Also wenn ich auf 3 klicke, dann startet der automatisch so ein blaues Feld mit gelber Schrift ("Wget ftp:\\ftp.macafee.com\pub usw.").
Da kann ich nix eingeben, was der scannen soll...

#14 dann klicke 1 und 2 und scanne damit
__________
MfG Sabina

rund um die PC-Sicherheit

#15 So, mit Sophos bin ich durch, habe erst das Verzeichnis WINNT/system32 gescannt, dann WINNT dann komplett C:\\

Full Scanning

edit sabina

2 master boot records swept.
62605 files swept in 41 minutes and 28 seconds.
89 errors were encountered.
No viruses were discovered.
78 encrypted files were not checked.
Ending Sophos Anti-Virus.

C:\!KillBox\schieferplaner.exe/setup.exe/rathscheck.exe Infected: Trojan-Spy.Win32.Banpaes.ar skipped

C:\!KillBox\schieferplaner.exe/setup.exe Infected: Trojan-Spy.Win32.Banpaes.ar skipped

C:\!KillBox\schieferplaner.exe ZIP: infected - 2 skipped

Scan process completed.


Muss ich mir da Gedanken machen? Das sind ja die Dateien, die ich gestern gelöscht habe mit der Killbox, und laut Pfad befinden die sich ja da...