TR/Vundo.gen und rechner stürzt ab sobald ich online bin

Thema ist geschlossen!
Thema ist geschlossen!
#0
02.10.2006, 01:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Avenger

Zitat

Files to delete:
C:\Windows\System32\Com\install.bat
C:\WINDOWS\Temp\cmdinst.exe

Folders to delete:
C:\Programme\Save

**
scanne mit panda und poste den report
http://virus-protect.org/onlinescan.html
+
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.10.2006, 01:32
Member

Themenstarter

Beiträge: 21
#17 Hier der avenger. Hätte ich Files to delete schreiben müssen?
Internet funktioniert schon mal wieder ;)


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oousjcmn

*******************

Script file located at: \??\C:\Program Files\ug^ssyxb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Error: C:\Windows\System32\Com\install.bat is not a folder! It may instead be a file.
Deletion of folder C:\Windows\System32\Com\install.bat failed!

Could not process line:
C:\Windows\System32\Com\install.bat
Status: 0xc0000103



Folder C:\WINDOWS\Temp\cmdinst.exe not found!
Deletion of folder C:\WINDOWS\Temp\cmdinst.exe failed!

Could not process line:
C:\WINDOWS\Temp\cmdinst.exe
Status: 0xc0000034

Folder C:\Programme\Save deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




Habe danach panda versucht, der Rechner hat sich aber während dessen plötzlich mit 60 Sekunden Countdown selbst ausgeschaltet.
Was soll ich jetzt machen?
Vielen Dank für die Hilfe!
Dieser Beitrag wurde am 02.10.2006 um 02:03 Uhr von Kross editiert.
Seitenanfang Seitenende
02.10.2006, 09:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 ops, Fehler gemacht

Zitat

Files to delete:
C:\Windows\System32\Com\install.bat
C:\WINDOWS\Temp\cmdinst.exe
**
poste das neue Log vom HijackTHis

**
deinstalliere vorruebergehend antivirus
lade avast free
http://virus-protect.org/avast.html
nach dem Laden wird man gefragt, ob man nach dem Neustart, waehrend des Bootvorganges einer Festplattenüberprüfung (Viren) zustimmt - mit "ja" bestaetigen
dann den Rechner neustarten

warte den scan ab und poste dann den scanreport


falls sich der rechner wieder abschaltet, teile es mir mit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.10.2006, 12:35
Member

Themenstarter

Beiträge: 21
#19 Hi! Ist nicht so schlimm.
Beim einschalten meines Computers kommt erst mal eine Fehlermeldung:
soffice.exe - Fehler in der Anwendung
Die Anwendung konnte nicht richtig initialisiert werden (0xc0000005). Klicken Sie auf "OK", um die Anwendung zu beenden.

Und:
LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden.
Problembericht senden / nicht senden...

Hier der avenger log und hijack. Danke schonmal.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\eedmrjrg

*******************

Script file located at: \??\C:\WINDOWS\System32\djnfhxgv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Windows\System32\Com\install.bat deleted successfully.


File C:\WINDOWS\Temp\cmdinst.exe not found!
Deletion of file C:\WINDOWS\Temp\cmdinst.exe failed!

Could not process line:
C:\WINDOWS\Temp\cmdinst.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.







Logfile of HijackThis v1.99.1
Scan saved at 12:40:52, on 02.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Dialer Control\dc.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svcchost.exe
C:\WINDOWS\system32\dumprep.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\dwwin.exe
C:\Programme\Winzip\WZQKPICK.EXE
C:\Programme\StarOffice6.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Besitzer.USER1-CO4CMGA9J\Eigene Dateien\gegenviren\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll (file missing)
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe




Bei dem avast gab es nach Neustart keinen Bericht. Es war auch nicht möglich, alles in den Container zu schieben - wegen Speichermangel. Jetzt hab ich ihn nochmal so durchlaufen lassen. Hier das log.

02.10.2006 13:19:09 Besitzer 2700 Sign of "Win32:Lookme-gen [Adw]" has been found in "C:\avenger\backup-01.10.2006-15.39.38,56.zip\avenger\Installer4.exe" file.
02.10.2006 13:19:19 Besitzer 2700 Sign of "Win32:Lookme-gen [Adw]" has been found in "C:\avenger\backup-01.10.2006-15.39.38,56.zip\avenger\khdes.dll" file.
02.10.2006 13:19:24 Besitzer 2700 Sign of "Win32:Sdbot-3497 [Trj]" has been found in "C:\avenger\backup-01.10.2006-15.39.38,56.zip\avenger\qaz" file.
02.10.2006 13:19:28 Besitzer 2700 Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\avenger\backup-02.10.2006- 1.24.01,96.zip\avenger\GH0JKLMN\ucmoreiex[1].exe\UCMTSAIE.DLL" file.
02.10.2006 13:19:38 Besitzer 2700 Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\avenger\backup-02.10.2006- 1.24.01,96.zip\avenger\GH0JKLMN\ucmoreiex[1].exe\IUCMORE.DLL" file.
02.10.2006 13:19:43 Besitzer 2700 Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\avenger\backup-02.10.2006- 1.24.01,96.zip\avenger\GH0JKLMN\ucmoreiex[1].exe" file.
02.10.2006 13:24:56 Besitzer 2700 Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\ucmoreiex[1].exe.vir\UCMTSAIE.DLL" file.
02.10.2006 13:25:14 Besitzer 2700 Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\ucmoreiex[1].exe.vir\IUCMORE.DLL" file.
02.10.2006 13:25:22 Besitzer 2700 Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\ucmoreiex[1].exe.vir" file.
Dieser Beitrag wurde am 02.10.2006 um 14:01 Uhr von Kross editiert.
Seitenanfang Seitenende
02.10.2006, 18:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Kross

ich hatte dir gesagt, dass sich avast und der antivirus nicht vetragen, warum hast du antivirus noch nicht (vorruebergehend deinstalliert ??????

««
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll (file missing)

O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll (file missing

O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
PC neustarten

»»
loesche alle backups vom avenger
C:\avenger\backup

**
scanne und poste den scanreport
McAfee FreeScan (Online)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.10.2006, 18:48
Member

Themenstarter

Beiträge: 21
#21 Hatte ich aber gemacht bevor ich avast installiert hab.
Beim hijack war's noch da, aber avast noch nicht.
War das falsch?
Dieser Beitrag wurde am 02.10.2006 um 18:52 Uhr von Kross editiert.
Seitenanfang Seitenende
02.10.2006, 18:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 o.k. ;)

arbeite mit HijackThis, loesche die backups vom avenger und mache den onlinescan, dann poste dessen scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.10.2006, 19:21
Member

Themenstarter

Beiträge: 21
#23 Hab hijack laufen lassen und die Backups vom avenger gelöscht.
Der onlinescan funktioniert irgendwie nicht. Der Explorer reagiert dann nicht mehr und schließt sich. Das ganze System ist super langsam.
Avast wehrt ständig Angriffe von DCOM Exploit ab.
Hast du eine Idee, was ich machen soll?
Danke
Seitenanfang Seitenende
03.10.2006, 01:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 1. du musst die windowsupdates machen, damit der patch fuer den DCOM Exploit geschlossen wird.

2.
installiere eine firewall
Sygate free (ganz unten auf der Seite)
http://www.sygate.de/

3.
boote in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)
scanne dort mit avast

4.
deinstalliere avast , lade wieder den antivirus und mache ebenfalls im abgesicherten Modus einen Vollscan
http://virus-protect.org/antivirus.html

---------------
5.
wenn garnichts mehr geht, musst du formatieren ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2006, 01:33
Member

Themenstarter

Beiträge: 21
#25 Ist das windows update nur service pack 2 mit der adresse die im Forum angegeben ist?
Mache das alles morgen in Ruhe und sage bescheid wie es gelaufen ist.

Danke für die viele Mühe!


Kross
Seitenanfang Seitenende
03.10.2006, 01:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 ««
Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen - alles auf gruen stellen
http://virus-protect.org/windsdoorcleaner.html

««
dann
Wie kann ich das Service Pack 2 installieren?
Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.

*Installation über Windows Update (Internet)
www.windowsupdate.com

oder
1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).
2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2006, 15:33
Member

Themenstarter

Beiträge: 21
#27 Hallo!
Updates sind gemacht. System läuft jetzt stabil. Nur gelegentlich werden beim runterfahren soffice.exe, soffice.bin und dc.exe mit "sofort beenden" geschlossen. Ist das schlimm?
Firewall ist installiert. Schadet es, wenn ich später zusätzlich noch die Firewall von Windows anschalte?
Scans im abgesicherten Modus mache ich jetzt.
Vielen Dank schon mal. Vielleicht wird ja doch noch alles gut ;)
Seitenanfang Seitenende
03.10.2006, 16:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 o.k. ´poste dann die scanreporte von avast und dann spaeter Antivirus (abges.Modus)
, auch den report vom onlinescan
McAfee FreeScan (Online)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2006, 17:42
Member

Themenstarter

Beiträge: 21
#29 Schadet es, wenn ich später zusätzlich noch die Firewall von Windows anschalte?

Hier der Report von avast:


03.10.2006 15:53:21 Administrator 1028 Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\IUCMORE.DLL.vir" file.
03.10.2006 15:54:09 Administrator 1028 Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\ucmoreiex[1].exe.vir\UCMTSAIE.DLL" file.
03.10.2006 15:54:18 Administrator 1028 Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\ucmoreiex[1].exe.vir\IUCMORE.DLL" file.
03.10.2006 15:54:27 Administrator 1028 Sign of "Win32:Adware-gen. [Adw]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\ucmoreiex[1].exe.vir" file.

03.10.2006 15:40:13 Administrator 1148 Error in aswChestC: chestOpenList Error 1753.
03.10.2006 15:40:13 Administrator 1148 aswChestInterface - Program error description: CChestListView::LoadFiles() chestOpenList() failed: 2147422219.
03.10.2006 15:40:23 Administrator 1148 aswChestInterface - Program error description: CChestListView::OnCreate() !m_strErrorWnd.IsEmpty().
03.10.2006 15:53:53 Administrator 1028 Error in aswChestC: chestAddFile Error 1753.
03.10.2006 15:54:33 Administrator 1028 Error in aswChestC: chestAddFile Error 1753.

Und der Antivir:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 3. Oktober 2006 18:03

Es wird nach 518896 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Administrator
Computername: USER1-CO4CMGA9J

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 21.08.2006 10:06:53
AVSCAN.DLL : 7.0.0.45 41000 25.07.2006 11:09:33
LUKE.DLL : 7.0.0.47 118824 07.09.2006 10:32:31
LUKERES.DLL : 7.0.0.47 9256 07.09.2006 10:32:31
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 10:35:19
ANTIVIR1.VDF : 6.36.0.89 1745920 02.10.2006 15:56:37
ANTIVIR2.VDF : 6.36.0.90 2048 02.10.2006 15:56:37
ANTIVIR3.VDF : 6.36.0.91 7680 03.10.2006 15:56:37
AVEWIN32.DLL : 7.2.0.22 1860096 03.10.2006 15:56:37
AVPREF.DLL : 7.0.0.2 23080 24.07.2006 12:35:49
AVREP.DLL : 6.36.0.5 806952 03.10.2006 15:56:37
AVRPBASE.DLL : 7.0.0.0 2162728 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.0 368680 21.07.2006 06:00:28
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 7.0.0.0 9768 24.07.2006 12:35:42
RCIMAGE.DLL : 7.0.0.74 1642536 01.08.2006 11:22:53
RCTEXT.DLL : 7.0.1.4 77864 03.10.2006 15:56:36

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C,J
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 0
Smart Extensions..............: 1
Auszulassende Archivtypen.....: 1000,1001,1002,1003,1004,1005,
Makrovirenheuristik...........: 1
Dateiheuristik................: 3
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Dienstag, 3. Oktober 2006 18:03


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 4 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 17 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\deskbar_e18.exe
[FUND] Enthält Signatur des Droppers DR/Softomate.R.10
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45958a5b.qua' verschoben!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\100aebb6e37f44f5a9a5de100ac37ba8_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\1c67aaf4744ec9d0e91db46739db490b_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\80d2271780d89dd29b9fe635e0e3de9e_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\88f8d5e330fe0f1d69994df8358d51b5_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\89133aad60a1b795877d0251b20fb9fb_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\989d4c91ecf45af82b3112d282146dfd_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\a8d90b3cf004f80b83b73d7f401023b4_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\b2f5fa44cf38d8a58ef21b7408dfd491_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\d067a302a67a9d5c43d299f8585ef27d_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\e699c4df9a7adc21b8cef94469f5e75b_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\ebd2536dfaddbaa4c1dd16d6fce15f0e_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\f6693e3ada07324af293be292de37ffa_3fac2005-7bca-49de-9d3f-6c5aabde56aa
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89SBCDWF\deskbar_e[1].exe
[FUND] Enthält Signatur des Droppers DR/Softomate.R.10
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45958b17.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\callcont.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\h323.tsp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\helpctr.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\msgina.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\mst120.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\schannel.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\svcchost.exe
[FUND] Enthält Signatur des Wurmes WORM/Sdbot.78888
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4585919b.qua' verschoben!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Dienstag, 3. Oktober 2006 18:39
Benötigte Zeit: 35:13 min

Der Suchlauf wurde vollständig durchgeführt.

3574 Verzeichnisse wurden überprüft
175463 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1710 Archive wurden durchsucht
45 Warnungen
0 Hinweise

Und mc afee (hat funktioniert ;) )

C:\...\How To Uninstall.lnk Adware-UCMore.lnk
C:\...\UCmore - The Search Accelerator.lnk Adware-UCMore.lnk
C:\...\UCmore Tour.lnk Adware-UCMore.lnk
C:\Programme\ICQToolbar\toolbaru.inf Adware-Softomate
C:\zia02092 W32/Sdbot.worm.gen.h
C:\zia02092 W32/Sdbot.worm!ftp
C:\zia02092 Adware-Look2Me
C:\zia02092 Adware-Look2Me


Firewall blockt noch oft NDIS User mode I/O Driver ab (Dateiname: ndisuio.sys). Weißt du zufällig, was das ist?
Danke!
Dieser Beitrag wurde am 03.10.2006 um 19:49 Uhr von Kross editiert.
Seitenanfang Seitenende
04.10.2006, 01:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 NDIS User mode I/O Driver ist dein Modem (?) - auf jeden fall kannst du das freigeben.
die Firewall XP kannst du aktivieren.

««
antivirus und afee haben den W32/Sdbot - svcchost.exe geloescht..hoffe ich mal, entgueltig ;)

««
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »