heur.trojan und trojan.small.fb entfernt - explorer.exe lädt nichtThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
07.08.2006, 19:42
...neu hier
Beiträge: 4 |
||
|
||
07.08.2006, 21:14
Ehrenmitglied
Beiträge: 29434 |
#2
1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. scanne noch mal mit Antivirus 3. aktiviere die systemwiederherstellung wieder 4. http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> poste den report 5. Download FixWareout http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.08.2006, 10:33
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo und erstmal Danke für die schnelle Antwort
habe deaktiviert, hier der AV-Scan: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Dienstag, 8. August 2006 09:39 Es wird nach 477718 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Marco Computername: MCO Versionsinformationen: AVSCAN.EXE : 7.0.0.42 557096 19.02.2006 19:15:49 AVSCAN.DLL : 7.0.0.42 57384 19.02.2006 19:15:49 LUKE.DLL : 7.0.0.42 118824 19.02.2006 19:15:49 LUKERES.DLL : 7.0.0.42 32808 19.02.2006 19:15:49 ANTIVIR0.VDF : 6.35.0.1 7371264 19.02.2006 19:15:49 ANTIVIR1.VDF : 6.35.0.168 730112 19.02.2006 19:15:49 ANTIVIR2.VDF : 6.35.1.56 459776 19.02.2006 19:15:49 ANTIVIR3.VDF : 6.35.1.60 10752 19.02.2006 19:15:49 AVEWIN32.DLL : 7.1.1.2 1782272 19.02.2006 19:15:49 AVPREF.DLL : 7.0.0.1 53288 19.02.2006 19:15:49 AVREP.DLL : 6.35.1.25 737320 19.02.2006 19:15:49 AVRPBASE.DLL : 7.0.0.0 2162728 05.05.2006 12:51:20 AVPACK32.DLL : 7.1.0.1 335912 19.02.2006 19:15:49 AVREG.DLL : 6.31.0.90 27688 19.02.2006 19:15:49 NETNT.DLL : 6.32.0.0 6696 19.02.2006 19:15:49 NETNW.DLL : 6.32.0.0 9768 19.02.2006 19:15:49 RCIMAGE.DLL : 7.0.0.71 1642536 19.02.2006 19:15:50 RCTEXT.DLL : 7.0.0.75 77864 19.02.2006 19:15:50 Konfiguration für den aktuellen Suchlauf: Job Name......................: Manuelle Auswahl Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Bootsektoren..................: C Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 1 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 0 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: 2 Primäre Aktion................: 4098 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Dienstag, 8. August 2006 09:39 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 49 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 30 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Marco\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Marco\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\MountPointManagerRemoteDatabase [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\ZLT03a6c.TMP [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\ZLT06031.TMP [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Dienstag, 8. August 2006 09:46 Benötigte Zeit: 07:02 min Der Suchlauf wurde vollständig durchgeführt. 2279 Verzeichnisse wurden überprüft 49137 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 319 Archive wurden durchsucht 27 Warnungen 0 Hinweise __________________________________________________________ Blacklight ist beim ersten Scan eingefroren, dann ging es aber - hier der Report: 08/08/06 09:47:43 [Info]: BlackLight Engine 1.0.42 initialized 08/08/06 09:47:43 [Info]: OS: 5.1 build 2600 (Service Pack 2) 08/08/06 09:47:43 [Note]: 7019 4 08/08/06 09:47:43 [Note]: 7005 0 08/08/06 09:47:45 [Note]: 7006 0 08/08/06 09:47:45 [Note]: 7011 1956 08/08/06 09:47:45 [Note]: 7026 0 08/08/06 09:47:45 [Note]: 7026 0 08/08/06 09:47:48 [Note]: FSRAW library version 1.7.1019 08/08/06 09:50:23 [Info]: Hidden file: c:\WINDOWS\system32\csixp.exe 08/08/06 09:50:23 [Note]: 7002 32 08/08/06 09:50:23 [Note]: 7003 1 08/08/06 09:50:23 [Note]: 10002 1 08/08/06 09:51:49 [Note]: 2000 1006 08/08/06 09:53:03 [Note]: 7007 0 ____________________________________________________________ Beim Neustart nach dem fixing hat AntiVir gemeldet, daß er csixp.exe als "unerwünschtes Programm" gefunden hat - habe ich in Quarantäne verschoben - hier der Report von FixWareOut: Fixwareout ver 1.003 Last edited 07/1/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Example ipsec6.exe is legitimate »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool »»»»» Search five digit cs, dm and jb files This WILL/CAN also list Legit Files, Submit them at Virustotal Other suspects Directory of C:\WINDOWS\system32 _____________________________________________________________ P.S. habe Fixwareout nicht über Deinen link laden können (Seite nicht erreichbar), es aber dann über [u]http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe gefunden noch was: ist es normal, daß ich jetzt msn als Startseite im IE habe? Danke, Marco |
|
|
||
08.08.2006, 12:08
Ehrenmitglied
Beiträge: 29434 |
#4
a4freak
1. Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen scan --> next none auf rename ändern Dann lass Blacklight den Rechner neu starten. 2. F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport scanne solange, bis nichts mehr angezeigt wird 3. dann stelle die Startseite neu ein: neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.08.2006, 14:56
...neu hier
Themenstarter Beiträge: 4 |
#5
1. kein Fund beim blacklight:
08/08/06 13:20:12 [Info]: BlackLight Engine 1.0.42 initialized 08/08/06 13:20:12 [Info]: OS: 5.1 build 2600 (Service Pack 2) 08/08/06 13:20:12 [Note]: 7019 4 08/08/06 13:20:12 [Note]: 7005 0 08/08/06 13:20:15 [Note]: 7006 0 08/08/06 13:20:15 [Note]: 7011 272 08/08/06 13:20:15 [Note]: 7026 0 08/08/06 13:20:15 [Note]: 7026 0 08/08/06 13:20:19 [Note]: FSRAW library version 1.7.1019 08/08/06 13:24:25 [Note]: 2000 1006 08/08/06 13:30:15 [Note]: 7007 0 _________________________________________________________________ 2. Report: Scanning Report Tuesday, August 08, 2006 13:34:04 - 14:12:26 Computer name: MCO Scanning type: Scan system for viruses, rootkits, spyware Target: C:\ E:\ X:\ -------------------------------------------------------------------------------- Result: 3 malware found Tracking Cookie (spyware) System (Disinfected) System System -------------------------------------------------------------------------------- Statistics Scanned: Files: 28386 System: 4241 Not scanned: 4 Actions: Disinfected: 1 Renamed: 0 Deleted: 0 None: 2 Submitted: 0 Files not scanned: C:\HIBERFIL.SYS C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{CBC3DED4-8921-486A-92F1-A0A8A725197D}.BIN -------------------------------------------------------------------------------- Options Scanning engines: F-Secure AVP: 6.0.171, 2006-08-08 F-Secure Libra: 2.4.1, 2006-08-05 F-Secure Orion: 1.2.37, 2006-08-04 F-Secure Blacklight: 1.0.31, 0000-00-00 F-Secure Pegasus: 1.19.0, 2006-06-05 F-Secure Draco: 1.0.35, 0259-24-212 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX Use Advanced heuristics _________________________________________________________________ Logfile of HijackThis v1.99.1 Scan saved at 14:50:44, on 08.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe X:\Programme\Logitech\iTouch\iTouch.exe X:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\PROGRA~1\T-ONLINE\DSL-MA~1\TODSLMGR.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe X:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE x:\Programme\Logitech\MouseWare\system\em_exec.exe X:\Programme\SPYWAREfighter\spfprc.exe X:\Programme\CA\eTrust Internet Security Suite\caissdt.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe X:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe X:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe X:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\WinTV\Ir.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe X:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\DT\Sinus 154 stick\Wifiusb.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe X:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\WINDOWS\System32\svchost.exe X:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe X:\Download\Tools\Internet-Sicherheit\Hjt\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - X:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - x:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [zBrowser Launcher] x:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [HP Software Update] X:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [HPHUPD08] X:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\PROGRA~1\T-ONLINE\DSL-MA~1\TODSLMGR.EXE" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [PCSuiteTrayApplication] X:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [spywarefighterguard] X:\Programme\SPYWAREfighter\spfprc.exe O4 - HKLM\..\Run: [CaISSDT] "x:\Programme\CA\eTrust Internet Security Suite\caissdt.exe" O4 - HKLM\..\Run: [eTrustPPAP] "X:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe" O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] X:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] x:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = X:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = X:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = X:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://X:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DCB59333-D2FB-408B-9146-CE519F33218B}: NameServer = ------------ O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ___________________________________________________________________________________ Win Explorer funktioniert wieder - habe Dir nochmal den hijt angefügt..... |
|
|
||
08.08.2006, 15:08
Ehrenmitglied
Beiträge: 29434 |
#6
es ist alles wieder in Ordnung
falls O17 - HKLM\System\CCS\Services\Tcpip\..\{DCB59333-D2FB-408B-9146-CE519F33218B}: NameServer = ------------ das nicht mit 85 beginnt............ Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{110ABBB1-9DF5-44F9-AD78-565BE30B867D}: NameServer = 85.255.115.77,85.255.112.159denn diese Verbindung geht zu einem Server in der Ukraine............... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.08.2006, 15:24
...neu hier
Themenstarter Beiträge: 4 |
#7
Super !!!
017 geht auf meinen Server - habe es nur unkenntlich gemacht ;-) der Eintrag 85...... war aber vorher definitiv vorhanden - viel Spaß mit meinen Daten in der Ukraine :-) vielen Dank nochmal für die schnelle Hilfe Marco |
|
|
||
habe dann über Anti Vir die Meldung bekommen, daß HEUR:Trojan.Downloader auf dem PC wäre
nachdem ich einige Forenbeiträge studiert habe, konnte ich mit PestPatrol und SpyBot einige infizierte Dateien und den Trojaner Trojan.small.fb rausschmeißen - in der registry habe ich dann noch die "bösen "Ports 85.255 usw. gekillt und mit hijt einige Prozesse gefixt - eigentlich sollte damit alles getan sein - beim Neustarten hat er den Explorer dann auch ganz brav geladen, SpyBot und adaware finden nichts mehr, aber AntiVir sagt mir wieder, daß daß HEUR.Tro´jan.Downloader auf dem PC ist mit 6 infizierten Dateien - beim nächsten Neustart wird der Explorer dann wieder nicht geladen
___________________________________________________________
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 7. August 2006 18:35
Es wird nach 477560 Virenstämmen gesucht.
Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Marco
Computername: MCO
Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 19.02.2006 19:15:49
AVSCAN.DLL : 7.0.0.42 57384 19.02.2006 19:15:49
LUKE.DLL : 7.0.0.42 118824 19.02.2006 19:15:49
LUKERES.DLL : 7.0.0.42 32808 19.02.2006 19:15:49
ANTIVIR0.VDF : 6.35.0.1 7371264 19.02.2006 19:15:49
ANTIVIR1.VDF : 6.35.0.168 730112 19.02.2006 19:15:49
ANTIVIR2.VDF : 6.35.1.56 459776 19.02.2006 19:15:49
ANTIVIR3.VDF : 6.35.1.59 8192 19.02.2006 19:15:49
AVEWIN32.DLL : 7.1.1.2 1782272 19.02.2006 19:15:49
AVPREF.DLL : 7.0.0.1 53288 19.02.2006 19:15:49
AVREP.DLL : 6.35.1.25 737320 19.02.2006 19:15:49
AVRPBASE.DLL : 7.0.0.0 2162728 05.05.2006 12:51:20
AVPACK32.DLL : 7.1.0.1 335912 19.02.2006 19:15:49
AVREG.DLL : 6.31.0.90 27688 19.02.2006 19:15:49
NETNT.DLL : 6.32.0.0 6696 19.02.2006 19:15:49
NETNW.DLL : 6.32.0.0 9768 19.02.2006 19:15:49
RCIMAGE.DLL : 7.0.0.71 1642536 19.02.2006 19:15:50
RCTEXT.DLL : 7.0.0.75 77864 19.02.2006 19:15:50
Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Bootsektoren..................: C
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 0
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 2
Primäre Aktion................: 4098
Sekundäre Aktion..............: 0
Beginn des Suchlaufs: Montag, 7. August 2006 18:35
Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 31 Prozesse durchsucht
Es wird begonnen die Bootsektoren zu durchsuchen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 30 Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Marco\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Marco\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\MountPointManagerRemoteDatabase
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{79582E83-0E00-42F4-8731-71CD4644D67E}\RP122\A0039064.exe
[FUND] Enthält verdächtigen Code: HEUR/Trojan.Downloader
[INFO] Eine Sicherungskopie wurde unter dem Namen 45076c84.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{79582E83-0E00-42F4-8731-71CD4644D67E}\RP122\A0039259.exe
[FUND] Enthält verdächtigen Code: HEUR/Trojan.Downloader
[INFO] Eine Sicherungskopie wurde unter dem Namen 45076c87.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{79582E83-0E00-42F4-8731-71CD4644D67E}\RP122\A0039270.exe
[FUND] Enthält verdächtigen Code: HEUR/Trojan.Downloader
[INFO] Eine Sicherungskopie wurde unter dem Namen 472e2a48.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{79582E83-0E00-42F4-8731-71CD4644D67E}\RP122\A0039293.exe
[FUND] Enthält verdächtigen Code: HEUR/Trojan.Downloader
[INFO] Eine Sicherungskopie wurde unter dem Namen 45076c88.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{79582E83-0E00-42F4-8731-71CD4644D67E}\RP122\A0039305.exe
[FUND] Enthält verdächtigen Code: HEUR/Trojan.Downloader
[INFO] Eine Sicherungskopie wurde unter dem Namen 472e2a49.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{79582E83-0E00-42F4-8731-71CD4644D67E}\RP122\A0039322.exe
[FUND] Enthält verdächtigen Code: HEUR/Trojan.Downloader
[INFO] Eine Sicherungskopie wurde unter dem Namen 45076c89.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT02d26.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT055ab.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Montag, 7. August 2006 18:42
Benötigte Zeit: 07:02 min
Der Suchlauf wurde vollständig durchgeführt.
2292 Verzeichnisse wurden überprüft
50217 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
316 Archive wurden durchsucht
28 Warnungen
0 Hinweise
________________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 19:39:16, on 07.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svchost.exe
X:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
X:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\NOTEPAD.EXE
X:\Download\Tools\Internet\Hjt\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - X:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - x:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] x:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [HP Software Update] X:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HPHUPD08] X:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\PROGRA~1\T-ONLINE\DSL-MA~1\TODSLMGR.EXE"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] X:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [spywarefighterguard] X:\Programme\SPYWAREfighter\spfprc.exe
O4 - HKLM\..\Run: [CaISSDT] "x:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "X:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] X:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] x:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = X:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = X:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = X:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://X:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe