Probleme mit TR/TCPParams.D:2 und TR/Drop.Toolbar.A.2

Thema ist geschlossen!
Thema ist geschlossen!
#0
02.09.2006, 21:31
Member

Beiträge: 12
#1 Abend alle samt zusammen
hab heute einen Trojaner bekommen den ich nicht mehr richtig loswerde
AntiVir meldet immer nach dem boot TR/TCPParams.D:2 und wenn ich den nicht schleunigst lösche kommt dann anschliessend noch TR/Drop.Toolbar.A.2
Hab AntiVir und AdAware schon durchlaufen lassen aber haben beide nichts gefunden.
Hoffe mir kann da jemand behilflich sein das wieder in Takt zu kriegen.

Der HiJackThis Bericht ist :

Zitat

Logfile of HijackThis v1.99.0
Scan saved at 21:26:29, on 02.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
F:\ABIT uGuru\uGuru.exe
F:\iTunes\iTunesHelper.exe
F:\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\explore.exe
C:\Programme\iPod\bin\iPodService.exe
E:\steam\steam.exe
F:\DTV\RC.exe
F:\ABIT uGuru\uGuru_Event_Receiver.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Sachn die ich brauch\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ABIT uGuru] F:\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [iTunesHelper] F:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "f:\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\L.KaPole\Desktop\Xinstall.exe
O4 - HKLM\..\Run: [Windows Help Service] explore.exe
O4 - HKLM\..\RunServices: [Windows Help Service] explore.exe

O4 - HKCU\..\Run: [Steam] "e:\steam\steam.exe" -silent
O4 - Startup: RC.lnk = F:\DTV\RC.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O16 - DPF: {47CEF84E-92D8-4C4A-86D7-CB982889DCC0} (Oberon Media Network Optimizer) - http://mp1.mplay.oberon-media.com/client/flashnet.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152378652248
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA743920-D68A-453E-9401-B8B49344E792}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: X10 Device Network Service - Unknown - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)
Schon mal danke im vorraus !
Dieser Beitrag wurde am 02.09.2006 um 21:45 Uhr von KaPole editiert.
Seitenanfang Seitenende
04.09.2006, 13:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 KaPole

ein Rechner ohne Windowsupdates.... ;)

-----------------------------------------------------------------------------

1.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.09.2006, 22:14
Member

Themenstarter

Beiträge: 12
#3 Hi ;)
erstmal danke für deine Hilfe

1.

Zitat

10)DPF????
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 1459-4E04

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.10.2003 16:25 133.712 EARTPX.dll
26.10.2003 16:13 321 EARTPX.inf
22.05.2006 16:37 1.793 erma.inf
04.03.2005 05:52 752 jinstall-1_5_0_02.inf
30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf
14.08.2005 00:26 113.664 MsnMessengerSetupDownloader.ocx
22.06.2006 11:41 5.032 swflash.inf
30.06.2003 23:41 1.689 WMV9VCM.inf
26.05.2005 04:19 291 wuweb.inf
9 Datei(en) 257.481 Bytes

Anzahl der angezeigten Dateien:
9 Datei(en) 257.481 Bytes
0 Verzeichnis(se), 3.421.732.864 Bytes frei
2. Gemacht kam aber keine Frage ob ich neustarten möchte.

3.

Zitat

system32.txt


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 1459-4E04

Verzeichnis von C:\WINDOWS\system32

06-09-04 21:14 41,237 nvapps.xml
06-09-02 16:06 9,728 Thumbs.db
06-09-02 00:59 2,184 wpa.dbl
06-08-11 21:43 196,608 nvapi(2).dll
06-08-11 21:43 86,016 nvmctray(2).dll
06-08-11 21:43 7,630,848 nvcpl(2).dll
06-08-11 21:42 4,496,128 nv4_disp(2).dll
06-08-11 21:42 155,715 nvsvc32(2).exe
06-08-11 21:42 35,840 nvcod(2).dll
06-06-11 01:00 57,384 avsda.dll

--------------------------------------------------------------------------------------------

systemtemp.txt


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 1459-4E04

Verzeichnis von C:\DOKUME~1\LAF03~1.KAP\LOKALE~1\Temp

06-09-04 21:24 1,442 jusched.log
06-09-03 23:42 16,384 ~DF2DEA.tmp
06-09-03 23:42 16,384 ~DFC61D.tmp
06-09-03 00:52 16,384 ~DF3435.tmp
06-09-03 00:52 16,384 ~DF23A7.tmp
06-09-03 00:43 4,533 plf3.tmp
06-09-03 00:12 5,248 plf2B.tmp
06-09-03 00:02 16,384 ~DF4EA9.tmp
06-09-03 00:02 16,384 ~DF413F.tmp
06-09-02 23:09 5,248 plfC8.tmp
06-09-02 22:38 16,384 ~DF215B.tmp
06-09-02 22:38 16,384 ~DF139C.tmp
06-09-02 22:33 71,680 GLB29.tmp
06-09-02 20:54 16,384 ~DFD8AE.tmp
06-09-02 20:54 16,384 ~DFCB21.tmp
99-11-03 11:34 9,728 GLF2E.tmp
16 Datei(en) 261,719 Bytes
0 Verzeichnis(se), 3,419,873,280 Bytes frei

--------------------------------------------------------------------------------------------

system


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 1459-4E04

Verzeichnis von C:\WINDOWS

06-09-04 21:13 0 0.log
06-09-04 21:13 159 wiadebug.log
06-09-04 21:13 50 wiaservc.log
06-09-04 21:13 2,048 bootstat.dat
06-09-04 21:11 32,496 SchedLgU.Txt
06-09-04 00:10 155 winamp.ini
06-09-03 00:46 580,721 setupapi.log
06-09-02 23:48 2,200 OEWABLog.txt
06-09-02 23:48 127,838 wmsetup.log
06-09-02 20:15 459 KB842773Uninst.log
06-09-02 17:21 369,735 WindowsUpdate.log
06-08-29 16:08 110 GMouse.ini
06-08-29 13:29 54,156 QTFont.qfn
06-08-09 20:37 1,101 win.ini
06-06-09 15:05 1,409 QTFont.for

--------------------------------------------------------------------------------------------
sys.txt


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 1459-4E04

Verzeichnis von C:\

06-09-04 21:51 0 sys.txt
06-09-04 21:51 6,126 system.txt
06-09-04 21:50 984 systemtemp.txt
06-09-04 21:49 95,844 system32.txt
06-09-04 21:23 827 DirDPF.txt
06-09-04 21:23 2 DirDPFCns.txt
06-09-04 21:13 805,306,368 pagefile.sys
06-07-02 20:10 3,584 dvb.GRF
Ausserdem hats irgendwie meine Art das Datum anzuzeigen verändert. Vorher "Tag.Monat.Jahr" und jetzt "Jahr-Monat-Tag". Wieso ?

4.

Zitat

L.KaPole - 06-09-04 21:53:14.18
ComboFix 06.09.04BT - Running from: C:\Dokumente und Einstellungen\L.KaPole\Eigene Dateien

Microsoft Windows XP [Version 5.1.2600]

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\ToolBar888


((((((((((((((((((((((((((((((( Files Created from 2006-08-04 to 2006-09-04 ))))))))))))))))))))))))))))))))))


2006-08-11 21:43 86,016 --a------ C:\WINDOWS\system32\nvmctray(2).dll
2006-08-11 21:43 7,630,848 --a------ C:\WINDOWS\system32\nvcpl(2).dll
2006-08-11 21:43 196,608 --a------ C:\WINDOWS\system32\nvapi(2).dll
2006-08-11 21:42 4,496,128 --a------ C:\WINDOWS\system32\nv4_disp(2).dll
2006-08-11 21:42 35,840 --a------ C:\WINDOWS\system32\nvcod(2).dll
2006-08-11 21:42 155,715 --a------ C:\WINDOWS\system32\nvsvc32(2).exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-04 21:19 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-03 00:33 -------- d-------- C:\Programme\MSN Messenger
2006-09-02 23:47 -------- d-------- C:\Programme\Messenger
2006-08-28 13:42 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-07-24 12:49 -------- d-------- C:\Dokumente und Einstellungen\L.KaPole\Anwendungsdaten\ICQLite
2006-06-11 01:00 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"POINTER"="point32.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb03.exe"
"C-Media Mixer"="Mixer.exe /startup"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ABIT uGuru"="F:\\ABIT uGuru\\uGuru.exe"
"iTunesHelper"="F:\\iTunes\\iTunesHelper.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"RemoteControl"="\"f:\\Home Cinema\\PowerDVD\\PDVDServ.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Windows Help Service"="explore.exe"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Windows Help Service"="explore.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ"="F:\\ICQ\\Icq.exe -trayboot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,60,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""



Completion time: 06-09-04 21:55:25.28
ComboFix.txt
Hoffe mal das hat alles seine Richtigkeit so in der Ausführung.

edit: bei Neustart meldet er immernoch dass bei "C:\DOKUME~1\LAF03~1.KAP\LOKALE~1\Temp\1.reg" der Trojaner ist
;)
Dieser Beitrag wurde am 04.09.2006 um 22:19 Uhr von KaPole editiert.
Seitenanfang Seitenende
04.09.2006, 23:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 KaPole

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Help Service"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Windows Help Service"=-

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\Downloaded Program Files\EARTPX.dll
C:\WINDOWS\Downloaded Program Files\EARTPX.inf
C:\Dokumente und Einstellungen\L.KaPole\Desktop\Xinstall.exe
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plf3.tmp
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plf2B.tmp
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plfC8.tmp
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.09.2006, 03:33
Member

Themenstarter

Beiträge: 12
#5 Avenger :

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\keoccpxk

*******************

Script file located at: \??\C:\WINDOWS\cuoijahb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Downloaded Program Files\EARTPX.dll deleted successfully.
File C:\WINDOWS\Downloaded Program Files\EARTPX.inf deleted successfully.


File C:\Dokumente und Einstellungen\L.KaPole\Desktop\Xinstall.exe not found!
Deletion of file C:\Dokumente und Einstellungen\L.KaPole\Desktop\Xinstall.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\L.KaPole\Desktop\Xinstall.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg not found!
Deletion of file C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg failed!

Could not process line:
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg
Status: 0xc0000034



File C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plf3.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plf3.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plf3.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plf2B.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plf2B.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plf2B.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plfC8.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plfC8.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\plfC8.tmp
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Scanreport :

Zitat

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 03:28:06 05.09.2006

+ Scan-Ergebnis:



F:\Sachn die ich brauch\hijackthis_199\backups\backup-20050131-183204-754.dll -> Adware.BHO : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OZQVQ5IX\Xinstall[1].exe -> Heuristic.Win32.Morphine-Crypted : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OZQVQ5IX\Xinstall[2].exe -> Heuristic.Win32.Morphine-Crypted : Gesäubert.
F:\Sachn die ich brauch\hijackthis_199\backups\backup-20060902-215202-925.dll -> Not-A-Virus.Downloader.Win32.SpyGame : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5QZOLAR\adv470[1].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\cast1[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\cast2[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\cast3[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\cast4[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\cast6[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\cast7[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\fotos[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\frei1[1].html -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\frei1[2].html -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\frei2[1].html -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\frei2[2].html -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\frei2[3].html -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\frei3[1].html -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\frei3[2].html -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\jessicagallery[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\lucygallery[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxang1[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxj1[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxj2[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxj3[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxl1[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxn1[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxs1[1].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxs1[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxs2[1].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxs2[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxs2[3].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxs3[1].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxs3[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\maxv1[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\nadjagallery[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\noangelsgallery[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\sandygallery[1].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\sandygallery[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\sang1[1].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\sang1[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\sang2[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OH67GPU3\vanessagallery[2].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YIBNDKR3\index[2].html -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YIBNDKR3\index[6].htm -> Not-A-Virus.Exploit.HTML.Mht : Gesäubert.
:mozilla.18:C:\Dokumente und Einstellungen\L.KaPole\Anwendungsdaten\Mozilla\Profiles\default\hfowuh19.slt\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.19:C:\Dokumente und Einstellungen\L.KaPole\Anwendungsdaten\Mozilla\Profiles\default\hfowuh19.slt\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.22:C:\Dokumente und Einstellungen\L.KaPole\Anwendungsdaten\Mozilla\Profiles\default\hfowuh19.slt\cookies.txt.old -> TrackingCookie.2o7 : Gesäubert.
:mozilla.23:C:\Dokumente und Einstellungen\L.KaPole\Anwendungsdaten\Mozilla\Profiles\default\hfowuh19.slt\cookies.txt.old -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ad.71i[1].txt -> TrackingCookie.71i : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@adbrite[1].txt -> TrackingCookie.Adbrite : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@axa.addcontrol[2].txt -> TrackingCookie.Addcontrol : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ad.adition[2].txt -> TrackingCookie.Adition : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ad.adnet[1].txt -> TrackingCookie.Adnet : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@cz11.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@cz3.clickzs[1].txt -> TrackingCookie.Clickzs : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@cz4.clickzs[1].txt -> TrackingCookie.Clickzs : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@cz5.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@cz6.clickzs[1].txt -> TrackingCookie.Clickzs : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@cz7.clickzs[1].txt -> TrackingCookie.Clickzs : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@cz8.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert.
:mozilla.33:C:\Dokumente und Einstellungen\L.KaPole\Anwendungsdaten\Mozilla\Profiles\default\hfowuh19.slt\cookies.txt.old -> TrackingCookie.Com : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@com[2].txt -> TrackingCookie.Com : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wfkoqicjmco.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wfliwkd5ceo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wflocpazwco.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wflowoczgbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wfmycnczaeq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wfmywpdjahp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wgkieidjwfq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wgkiuldjaeq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wgkokic5ohq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wgmisidzaco.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wjkoojdpcbo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wjkyuoazwbq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wjkywnazihp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@e-2dj6wjliggcjmbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Gesäubert.
:mozilla.24:C:\Dokumente und Einstellungen\L.KaPole\Anwendungsdaten\Mozilla\Profiles\default\hfowuh19.slt\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert.
:mozilla.25:C:\Dokumente und Einstellungen\L.KaPole\Anwendungsdaten\Mozilla\Profiles\default\hfowuh19.slt\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert.
:mozilla.26:C:\Dokumente und Einstellungen\L.KaPole\Anwendungsdaten\Mozilla\Profiles\default\hfowuh19.slt\cookies.txt.old -> TrackingCookie.Falkag : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ads.gamershell[1].txt -> TrackingCookie.Gamershell : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ehg-idg.hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@max.i12[1].txt -> TrackingCookie.I12 : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ilead.itrack[1].txt -> TrackingCookie.Itrack : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@image.masterstats[1].txt -> TrackingCookie.Masterstats : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@oewabox[1].txt -> TrackingCookie.Oewabox : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@data2.perf.overture[1].txt -> TrackingCookie.Overture : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ads.planetactive[1].txt -> TrackingCookie.Planetactive : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ppms.popularix[2].txt -> TrackingCookie.Popularix : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ads-205.quarterserver[1].txt -> TrackingCookie.Quarterserver : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@trafficcenter[1].txt -> TrackingCookie.Trafficcenter : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Cookies\l.kapole@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert.
C:\WINDOWS\system32\drivers\etc\hosts -> Trojan.Bambo.Hosts.A : Gesäubert.
C:\WINDOWS\system32\drivers\etc\hosts.msn -> Trojan.Bambo.Hosts.A : Gesäubert.
F:\Kazaa Lite\supertrick.txt -> Trojan.Bambo.Hosts.A : Gesäubert.
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OZQVQ5IX\photo3321[1].PIF -> Worm.Braban.g : Gesäubert.
C:\Programme\MSN Messenger\msnmsgr.exe -> Worm.Braban.g : Gesäubert.


::Berichtende
/edit :
Die Meldung von AntiVir nach einem Neustart kommt leider immernoch dass bei C:\DOKUME~1\LAF03~1.KAP\LOKALE~1\Temp\1.reg der Tronajer ist...
Langsam verzweifel ich.
Dank dir aber vielmals für deine Bemühungen.
Dieser Beitrag wurde am 05.09.2006 um 03:45 Uhr von KaPole editiert.
Seitenanfang Seitenende
05.09.2006, 13:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 poste mal bitte einen scanreport vom antivirus
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.09.2006, 14:23
Member

Themenstarter

Beiträge: 12
#7 Endlich die Zeit gefunden Antivirus durchlaufen zu lassen.

Scnanreport :

Zitat

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 7. September 2006 10:39

Es wird nach 495390 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Benutzername: L.KaPole
Computername: KAPOLE

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 11.02.2006 13:52:23
AVSCAN.DLL : 7.0.0.42 57384 11.02.2006 13:52:23
LUKE.DLL : 7.0.0.42 118824 11.02.2006 13:52:23
LUKERES.DLL : 7.0.0.42 32808 11.02.2006 13:52:23
ANTIVIR0.VDF : 6.35.0.1 7371264 11.02.2006 13:52:23
ANTIVIR1.VDF : 6.35.1.122 1270784 11.02.2006 13:52:23
ANTIVIR2.VDF : 6.35.1.175 144896 11.02.2006 13:52:23
ANTIVIR3.VDF : 6.35.1.196 33792 11.02.2006 13:52:23
AVEWIN32.DLL : 7.1.1.14 1835520 11.02.2006 13:52:23
AVPREF.DLL : 7.0.0.1 53288 11.02.2006 13:52:23
AVREP.DLL : 6.35.1.191 794664 11.02.2006 13:52:23
AVRPBASE.DLL : 7.0.0.0 2162728 06.05.2006 14:01:31
AVPACK32.DLL : 7.1.0.1 335912 11.02.2006 13:52:23
AVREG.DLL : 6.31.0.90 27688 11.02.2006 13:52:23
NETNT.DLL : 6.32.0.0 6696 11.02.2006 13:52:23
NETNW.DLL : 6.32.0.0 9768 11.02.2006 13:52:23
RCIMAGE.DLL : 7.0.0.71 1642536 11.02.2006 13:52:25
RCTEXT.DLL : 7.0.0.75 77864 11.02.2006 13:52:25

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition

Classic\PROFILES\folder.avp
Bootsektoren..................: C,D,E,F
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Donnerstag, 7. September 2006 10:39


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 38 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 22 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\L.KaPole\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\L.KaPole\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\L.KaPole\Lokale

Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\L.KaPole\Lokale

Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\~DF4E4F.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\~DF68BA.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale

Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale

Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale

Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale

Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 7. September 2006 14:13
Benötigte Zeit: 3:34:29 min

Der Suchlauf wurde vollständig durchgeführt.

5171 Verzeichnisse wurden überprüft
508758 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
5031 Archive wurden durchsucht
26 Warnungen
0 Hinweise
wie erwartet hat AntiVir nix geunden und nachm Neustart war er Trojaner wieder bei C:\DOKUME~1\LAF03~1.KAP\LOKALE~1\Temp\1.reg

Hilfe ! ;)
Seitenanfang Seitenende
07.09.2006, 15:01
Member
Avatar Chris4You

Beiträge: 694
#8 Hi,

ich habe hier leider nur w2k, aber blöde Frage: Müsste der Explorer nicht unter c:\winnt\Explorer.exe zu finden zu sein statt wie bei Dir unter: "C:\WINDOWS\System32\explore.exe" -> (http://www.sophos.de/virusinfo/analyses/explorezip.html, oder http://www.sophos.de/security/analyses/trojbankerar.html).
Bitte prüfen, z.B. über:http://virusscan.Jotti.org/
Gruß,
Chris
Seitenanfang Seitenende
07.09.2006, 15:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 ja, dass stimmt, lasse es mal ueberpruefen:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\System32\explore.exe

poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.09.2006, 21:04
Member

Themenstarter

Beiträge: 12
#10 das kam dabei raus. Vor allem das mit AntiVir verwundert mich irgendwie weil ich AntiVir ja die letzten Tage täglich update O.o

Zitat

STATUS: FINISHEDComplete scanning result of "explore.exe", received in VirusTotal at 09.07.2006, 21:02:10 (CET).

Antivirus Version Update Result
AntiVir 7.1.1.14 09.07.2006 HEUR/Crypted
Authentium 4.93.8 09.07.2006 no virus found
Avast 4.7.844.0 09.07.2006 no virus found
AVG 386 09.07.2006 no virus found
BitDefender 7.2 09.07.2006 DeepScan:Generic.Sdbot.5F405936
CAT-QuickHeal 8.00 09.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 09.07.2006 no virus found
DrWeb 4.33 09.07.2006 Win32.HLLW.MyBot
eTrust-InoculateIT 23.72.118 09.07.2006 no virus found
eTrust-Vet 30.3.3066 09.07.2006 no virus found
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.07.2006 suspicious
F-Prot 3.16f 09.07.2006 no virus found
F-Prot4 4.2.1.29 09.07.2006 no virus found
Ikarus 0.2.65.0 09.07.2006 no virus found
Kaspersky 4.0.2.24 09.07.2006 Backdoor.Win32.Rbot.gen
McAfee 4847 09.07.2006 no virus found
Microsoft 1.1560 09.07.2006 no virus found
NOD32v2 1.1743 09.07.2006 no virus found
Norman 5.90.23 09.07.2006 no virus found
Panda 9.0.0.4 09.07.2006 Suspicious file
Sophos 4.09.0 09.07.2006 no virus found
Symantec 8.0 09.07.2006 no virus found
TheHacker 5.9.8.207 09.07.2006 no virus found
UNA 1.83 09.07.2006 no virus found
VBA32 3.11.1 09.07.2006 no virus found
VirusBuster 4.3.7:9 09.07.2006 no virus found


Aditional Information
File size: 183296 bytes
MD5: 6d5f766fbeca854b4aa792b326746560
SHA1: ef9d962b2e0bbeb717587c67d193e196213bb15c
Seitenanfang Seitenende
07.09.2006, 21:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg.vir
C:\WINDOWS\System32\explore.exe
scanne mit kaspersky und poste den report
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.09.2006, 23:59
Member

Themenstarter

Beiträge: 12
#12 Avenger :

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oxrpiegv

*******************

Script file located at: \??\C:\WINDOWS\mvewaywn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg not found!
Deletion of file C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg failed!

Could not process line:
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg
Status: 0xc0000034



File C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg.vir not found!
Deletion of file C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg.vir failed!

Could not process line:
C:\Dokumente und Einstellungen\L.KaPole\Lokale Einstellungen\Temp\1.reg.vir
Status: 0xc0000034

File C:\WINDOWS\System32\explore.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Der von Kaspersky ist extrem lang und passt hier nicht ganz rein. Also hab ich den mal hochgeladen
http://home.arcor.de/kapole/ScanReport.txt

Eigentlich beunruhigt mich noch ein wenig "Known viruses : 1", obwohl ich den nirgens einordnen kann O.o
Weil ansonsten kommt nach dem Neustart nichts mehr. Keinerlei Meldungen von dem Trojaner.
Also VIELEN VIELEN LIEBEN DANK ;) !
Dieser Beitrag wurde am 08.09.2006 um 00:15 Uhr von KaPole editiert.
Seitenanfang Seitenende
08.09.2006, 07:36
Member
Avatar Chris4You

Beiträge: 694
#13 Hi,

das ist Ok, hab mir das log angesehen (der Scanner meint das Backup von Avenger, wo ja die Explore.exe drin hängt -> denke wenn nix mehr passiert, kannst Du das Backup auch löschen).
Es scheint bei Avira halt doch unterschiede zwischen dem "freien" Scanner und den "gewerblichen" zu geben :o)....

Gruß,
Chris
Seitenanfang Seitenende
09.09.2006, 00:18
...neu hier

Beiträge: 10
#14 hi leute..habe mir heute diesen virus per msn eingefangen und bin absolut ratlos!
Seitenanfang Seitenende
09.09.2006, 00:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 nameisegal

poste hier diese logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: