VirusBurst - eingefangen (Newbie)

Thema ist geschlossen!
Thema ist geschlossen!
#0
01.11.2006, 14:07
Member

Beiträge: 23
#1 Hallo @all,

beim Surfen habe ich mir dieses unangenehme Virus eingefangen :-( und bitte um mithilfe! Vielen Dank vorab!

Bin bei Punkt 1: Avenger

edit (Sabina)

**********************************************************
**********************************************************

So, nun habe ich Punkt 2 und 3 abgearbeitet und Poste nun den log von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15:24:50, on 01.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Treiber\razerhid.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\agfeo\ISDN Guard\agfguard.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\AGFEO\Tk-Suite-Basic-2\tkserver\tksock.exe
C:\Programme\AGFEO\Tk-Suite-Basic-2\tkserver\tkmedia.exe
C:\Programme\Treiber\razerofa.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\MH-Neue Programme\VirusPRG_Hijackthis\hijackthis\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.onlineregister.com/sonic/cgi/index.cgi?LANG=DE&PAGE=thx&SNML=CX44DG49FDYBQUAN4|SC-612B91F&VRST=0227 (DE)&FNAM=******&LNAM=*****&EMAL=*.*****@***.de&NTFY=&PRDN=&YSNL=&PRNM=SCMain&SVTG=&SRNM=SC-612B91F (obfuscated)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - c:\programme\canon i865\Easy-WebPrint261\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - c:\programme\canon i865\Easy-WebPrint261\Toolband.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [razer] C:\Programme\Treiber\razerhid.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\agfeo\ISDN Guard\agfguard.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = ?
O4 - Global Startup: TK-Suite Client.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://c:\programme\canon i865\Easy-WebPrint261\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://c:\programme\canon i865\Easy-WebPrint261\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://c:\programme\canon i865\Easy-WebPrint261\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://c:\programme\canon i865\Easy-WebPrint261\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TK-Suite Server (tksock) - Unknown owner - C:\Programme\AGFEO\Tk-Suite-Basic-2\tkserver\tksock.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Dieser Beitrag wurde am 01.11.2006 um 16:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.11.2006, 16:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
poste hier beide scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2006, 18:56
Member

Themenstarter

Beiträge: 23
#3 Hallo Sabina,

folgende 2 Log´s habe ich vorhin bei SmitFraudFix erhalten:

Log 1:

SmitFraudFix v2.117

Scan done at 14:22:52,37, 01.11.2006
Run from D:\MH-Neue Programme\VirusPRG_SmitfraudFix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\rrtcany.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Markus


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Markus\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\VideoKeyCodec\ FOUND !
C:\Programme\VirusBursters\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{27321538-5739-4aa1-b84c-7d18e4383f1f}"="ferrateen"

[HKEY_CLASSES_ROOT\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}\InProcServer32]
@="C:\WINDOWS\system32\rrtcany.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}\InProcServer32]
@="C:\WINDOWS\system32\rrtcany.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~2\\GOEC62~1.DLL"


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


*********************************************************
*********************************************************

Log 2:

SmitFraudFix v2.117

Scan done at 14:44:23,21, 01.11.2006
Run from D:\MH-Neue Programme\VirusPRG_SmitfraudFix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{27321538-5739-4aa1-b84c-7d18e4383f1f}"="ferrateen"

[HKEY_CLASSES_ROOT\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}\InProcServer32]
@="C:\WINDOWS\system32\rrtcany.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}\InProcServer32]
@="C:\WINDOWS\system32\rrtcany.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\rrtcany.dll Deleted
C:\Programme\VideoKeyCodec\ Deleted
C:\Programme\VirusBursters\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


*********************************************************
*********************************************************

Soll ich die Scan´s noch mal wiederholen?
Seitenanfang Seitenende
01.11.2006, 19:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 es muesste wieder alles in schoenster Ordnung sein ;) - oder ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2006, 19:36
Member

Themenstarter

Beiträge: 23
#5 Ich glaube ja,

wie kann ich auf Nummer sicher gehen, ich habe das Gefühl,
das ich mir nicht nur diesen VirusBuster eingehandelt habe.
Ich habe bei Avira AntiVir noch zwei andere Meldungen erhalten.

1. Meldung:

TR/AdClicker.AF

soll ein Trojaner oder eine Maleware sein

2. Meldung:

DR/NewDotNet.A

Zur Zeit befinden sich beide in Quarantäne.
Seitenanfang Seitenende
01.11.2006, 19:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 scanne mit panda und mit ewido und poste beide scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2006, 22:03
Member

Themenstarter

Beiträge: 23
#7 Hi Sabina,

nach langen Scan´s nun die Log´s:

Ewido:

ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Markus\Cookies\markus@2o7[2].txt
Risk: Medium

Name: TrackingCookie.Planetactive
Path: C:\Dokumente und Einstellungen\Markus\Cookies\markus@ads.planetactive[2].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\Dokumente und Einstellungen\Markus\Cookies\markus@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Addcontrol
Path: C:\Dokumente und Einstellungen\Markus\Cookies\markus@axa.addcontrol[2].txt
Risk: Medium

Name: TrackingCookie.Overture
Path: C:\Dokumente und Einstellungen\Markus\Cookies\markus@data2.perf.overture[2].txt
Risk: Medium

Name: TrackingCookie.Estat
Path: C:\Dokumente und Einstellungen\Markus\Cookies\markus@estat[1].txt
Risk: Medium

******************************************************************
******************************************************************

Panda:


Incident Status Location

Adware:adware/safetybar Not disinfected c:\dokumente und einstellungen\all users\desktop\Online Security Guide.url
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Yadro Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.yadro.ru/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.apmebf.com/]
Spyware:Cookie/Toplist Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.toplist.cz/]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.ehg-ati.hitbox.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.hitbox.com/]
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.advertising.com/]
Spyware:Cookie/bravenetA Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.bravenet.com/]
Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.ehg-idg.hitbox.com/]
Spyware:Cookie/onestat.com Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[stat.onestat.com/]
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Humanclick Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[hc2.humanclick.com/hc/88837825]
Spyware:Cookie/Humanclick Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[hc2.humanclick.com/]
Spyware:Cookie/Overture Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\cookies.txt[.overture.com/]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Markus\Cookies\markus@2o7[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Markus\Cookies\markus@atdmt[2].txt
Spyware:Cookie/Overture Not disinfected C:\Dokumente und Einstellungen\Markus\Cookies\markus@perf.overture[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Markus\Cookies\markus@tradedoubler[2].txt
Spyware:Spyware/Virtumonde Not disinfected D:\MH-Neue Programme\Cliparts\cliparts-bilder\setup.exe
Spyware:Spyware/Virtumonde Not disinfected D:\MH-Neue Programme\Cliparts\cliparts-bilder.zip[setup.exe]
Potentially unwanted tool:Application/Processor Not disinfected D:\MH-Neue Programme\VirusPRG_SmitfraudFix\SmitfraudFix\SmitfraudFix\Process.exe
Possible Virus. Not disinfected D:\MH-Neue Programme\VirusPRG_SmitfraudFix\SmitfraudFix\SmitfraudFix\swsc.exe
Potentially unwanted tool:Application/Processor Not disinfected D:\MH-Neue Programme\VirusPRG_SmitfraudFix\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Possible Virus. Not disinfected D:\MH-Neue Programme\VirusPRG_SmitfraudFix\SmitfraudFix.zip[SmitfraudFix/swsc.exe]


**********************************************************
***********************************************************
**********************************************************

Hier noch ein Scanreport von Avira Antivir vom 29.10.06

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 29. Oktober 2006 20:29

Es wird nach 533468 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: *
Computername: *

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 19.09.2006 17:49:06
AVSCAN.DLL : 7.0.0.45 41000 19.09.2006 17:49:06
LUKE.DLL : 7.0.0.47 118824 19.09.2006 17:49:06
LUKERES.DLL : 7.0.0.47 9256 19.09.2006 17:49:06
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 10:21:48
ANTIVIR1.VDF : 6.36.0.89 1745920 02.10.2006 16:25:33
ANTIVIR2.VDF : 6.36.0.178 200704 25.10.2006 17:58:39
ANTIVIR3.VDF : 6.36.0.193 29696 26.10.2006 17:58:39
AVEWIN32.DLL : 7.2.0.34 1892864 26.10.2006 17:58:39
AVPREF.DLL : 7.0.0.2 23080 19.09.2006 17:49:06
AVREP.DLL : 6.36.0.144 876584 20.10.2006 17:18:22
AVRPBASE.DLL : 7.0.0.0 2162728 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 26.10.2006 17:58:39
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 7.0.0.0 9768 19.09.2006 17:49:06
RCIMAGE.DLL : 7.0.0.74 1642536 19.09.2006 17:49:03
RCTEXT.DLL : 7.0.1.4 77864 28.09.2006 04:28:18

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C,D
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Sonntag, 29. Oktober 2006 20:29


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 37 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 40 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\dbc2e.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\dbdam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\dbdao
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\dbeam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\dbeao
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\dbm
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\dbu2d.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\dbvm.cf1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\dbvmh.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\fii.cf1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\fiih.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\hp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\hpt2i.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\rpm.cf1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\rpm1m.cf1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\rpm1mh.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop\df40f079c0f2\rpmh.ht1
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\2h68pg1l.default\Cache\2131506Cd01
[0] Archivtyp: ZIP
--> keygen.exe
[FUND] Ist das Trojanische Pferd TR/Bckdr.FYD
--> crackk.exe
[FUND] Ist das Trojanische Pferd TR/AdClicker.AF
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45780314.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\sqlite_2MnGaS3fQ0ONNH0
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\sqlite_X5EbplpjaJY3D8A
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\MH-Neue Programme\Crack Anydvd\WarezP2P_TDL.exe
[FUND] Enthält Signatur des Droppers DR/NewDotNet.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45b70c1d.qua' verschoben!


Ende des Suchlaufs: Sonntag, 29. Oktober 2006 21:22
Benötigte Zeit: 52:54 min

Der Suchlauf wurde vollständig durchgeführt.

5648 Verzeichnisse wurden überprüft
232598 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4255 Archive wurden durchsucht
44 Warnungen
1 Hinweise
Dieser Beitrag wurde am 01.11.2006 um 23:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.11.2006, 22:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
c:\dokumente und einstellungen\all users\desktop\Online Security Guide.url
poste den report nach neustart

«
avenger auf D:\ entpacken

Zitat

Folders to delete:
D:\MH-Neue Programme\Cliparts
D:\MH-Neue Programme\Crack Anydvd

__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.11.2006 um 22:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.11.2006, 22:29
Member

Themenstarter

Beiträge: 23
#9 Hier der Post nach dem Neustart vom Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qmucofet

*******************

Script file located at: \??\C:\WINDOWS\nnukokge.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\dokumente und einstellungen\all users\desktop\Online Security Guide.url deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Nun delete ich den Zweiten Teil.
Seitenanfang Seitenende
01.11.2006, 22:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 dann sollte alles wieder o.k. sein ;)
uebrigens, die meiste Schadware kommt durch den User auf den Rechner, weil er unbedingt cracks und anderen muell laedt. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2006, 22:46
Member

Themenstarter

Beiträge: 23
#11 Hier noch der Report nach dem zweitem delete vom Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qpbybrfe

*******************

Script file located at: psvxfyer

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!


**************************************************
**************************************************

Bzgl. Userdummheiten, gebe ich dir ja recht.
Leider gibt es aber auch Leutz, die einem mit diesen
Schadprogrammen einen kompletten Tag vermiesen.
Und es werden immer mehr.

Ich bedanke mich auf jedenfall für Deine super Hilfe!
Internetsurfen und angebliche Sicherheit ist für mich ein Buch mit sieben
Siegeln. Ich Blick da nicht durch, wo man bei den ganzen Reports, das
entscheidene an Infos findet und die richtigen Gegenmaßnahmen durchführt.
Da muss mann wohl schon Progrmmierer sein um das zu durchschauen.
:-)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: