Trojan.Dialer (in C:\WINDOWS\Temp hab ich auch noch diese win***.temp.exe) |
||
---|---|---|
#0
| ||
05.11.2006, 22:04
Ehrenmitglied
Beiträge: 29434 |
||
|
||
06.11.2006, 09:17
Member
Themenstarter Beiträge: 28 |
#17
Der andere Scan folgt später....
Sophos Anti-Virus Version 4.11.0 [Win32/Intel] Virus data version 4.11, November 2006 Includes detection for 194534 viruses, trojans and worms Copyright (c) 1989-2006 Sophos Plc, www.sophos.com System time 00:36:25, System date 06 November 2006 Command line qualifiers are: -f -di -all -remove -mime -mbr -noc -archive -opt=ISCabinet IDE directory is: c:\AV-CLS\Sophos Full Scanning Could not open c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Could not open c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open c:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Could not open c:\Dokumente und Einstellungen\sonderling\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Could not open c:\Dokumente und Einstellungen\sonderling\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Could not check c:\gpsneu\Nero 7.0.1.4b Premium\Nero-7.0.1.4b_deu.exe\SfxArchiveData\Cab\B7B2933B.cab (corrupt) Could not open c:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Aborted checking c:\Programme\Spiele Install\Civilization.IV-DVD.CLONECD\CIV4_Miniimage_by_Pr1m45.rar - appears to be a 'zip bomb' Aborted checking c:\Programme\Spiele Install\Civilization.IV-DVD.CLONECD\Civilization.IV-DVD.CLONECD.mdf - appears to be a 'zip bomb' >>> Virus 'Troj/Bckdr-GGC' found in file c:\Programme\Spiele Install\Command & Conquer Generals - ADDON - Die Stunde Null\crack\generals.exe Removal successful >>> Virus 'Troj/Bckdr-GGC' found in file c:\Programme\Spiele Install\Command & Conquer Generals - ADDON - Die Stunde Null\Neuer Ordner\generals.exe Removal successful Could not check c:\WINDOWS\fsc\DOTNETFX\DOTNETFX.EXE\FILE:0000\SfxArchiveData\msi.dll (corrupt) Could not open c:\WINDOWS\system32\CatRoot2\edb.log Could not open c:\WINDOWS\system32\CatRoot2\tmp.edb Could not open c:\WINDOWS\system32\config\system.LOG Could not open c:\WINDOWS\Temp\Perflib_Perfdata_254.dat 1 master boot record swept. 41891 files swept in 1 hour, 47 minutes and 51 seconds. 15 errors were encountered. 2 viruses were discovered. 2 files out of 41891 were infected. Please send infected samples to Sophos for analysis. For advice consult www.sophos.com, email support@sophos.com or telephone +44 1235 559933 Ending Sophos Anti-Virus. Dieser Beitrag wurde am 06.11.2006 um 10:34 Uhr von Sabina editiert.
|
|
|
||
06.11.2006, 10:35
Ehrenmitglied
Beiträge: 29434 |
#18
falls du das log vom Kaspersky zur hand hast - poste es.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.11.2006, 17:16
Member
Themenstarter Beiträge: 28 |
#19
þ AVPDOS32 Start 06-11-2006 11:11:40
Version 3.0 build 135 Last update: 06.11.2006, 238592 records. Command line: /- /E /* /MD /MP /Y /Z- /W+=ScanReport.txt *: Profile defdos32.prf (from 27.06.2001 03:00:00) c:\ADDON\ADOBE\ADBERD~1.EXE packed: UPX c:\ADDON\KB884575\KB884575.EXE archive: CAB c:\ADDON\KB885894\KB885894.EXE archive: CAB c:\ADDON\MEDIAP~1\MP10SE~1.EXE archive: CAB c:\ADDON\MEDIAP~1\MP10SE~1.EXE/9SeriesD.wmz archive: ZIP c:\ADDON\MEDIAP~1\MP10SE~1.EXE/Compact.wmz archive: ZIP c:\ADDON\MEDIAP~1\MP10SE~1.EXE/QuickSi.wmz archive: ZIP c:\ADDON\MEDIAP~1\MP10SE~1.EXE/Revert.wmz archive: ZIP c:\ADDON\MEDIAP~1\MP10SE~1.EXE/wmp10.chm archive: CHM c:\ADDON\MEDIAP~1\MP10SE~1.EXE/wmperr10.chm archive: CHM c:\AV-CLS\UNRAR.EXE packed: UPX c:\AV-CLS\UNZIP.EXE packed: Diet c:\AV-CLS\UNZIP.EXE packed: Com2Exe c:\AV-CLS\SOPHOS\ESDZ.EXE archive: ZIP c:\AV-CLS\SOPHOS\SAV32SFX.EXE archive: ZIP c:\AV-CLS\SOPHOS\WEB_IDES.EXE packed: UPX c:\AV-CLS\SOPHOS\WEB_IDES.EXE archive: RarSFX c:\AV-CLS\SOPHOS\WEB_IDES.EXE/data.rar archive: RAR c:\AV-CLS\SOPHOS\WEB_IDES.EXE archive: RAR c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI archive: Embedded c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab archive: CAB c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/other.zip archive: ZIP c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/extra.zip archive: ZIP c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core1.zip archive: ZIP c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core2.zip archive: ZIP c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip archive: ZIP c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/ext/dnsns.jar archive: ZIP c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/ext/sunjce_provider.jar archive: ZIP c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/ext/sunpkcs11.jar archive: ZIP c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/im/indicim.jar archive: ZIP c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/im/thaiim.jar archive: ZIP c:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\{3248F~1\J2SERU~1.MSI/Data1.cab/core3.zip/lib/jce.jar archive: ZIP edit (Sabina) Dieser Beitrag wurde am 07.11.2006 um 00:36 Uhr von Sabina editiert.
|
|
|
||
07.11.2006, 00:37
Ehrenmitglied
Beiträge: 29434 |
#20
soweit als moeglich, muesste wieder alles clean sein
ich will noch was nachschauen : poste dieses log http://virus-protect.org/registry_stuff.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.11.2006, 09:00
Member
Themenstarter Beiträge: 28 |
#21
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile ----------------------- ----------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "DependOnGroup"=hex(7):00 "DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00 "Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz." "DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "ObjectName"="LocalSystem" "Start"=dword:00000004 "Type"=dword:00000020 "Group"="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:000027b5 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002" "1900:UDP"="1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007" "2869:TCP"="2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "D:\\Battlefield 2\\BF2.exe"="D:\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2" "C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"="C:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\AV-CLS\\WGET.EXE"="C:\\AV-CLS\\WGET.EXE:*:Enabled:WGET.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000000 "AntiVirusOverride"=dword:00000000 "FirewallOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] Dieser Beitrag wurde am 07.11.2006 um 10:31 Uhr von Sabina editiert.
|
|
|
||
07.11.2006, 10:29
Ehrenmitglied
Beiträge: 29434 |
#22
1.
gehe in die Registry Start - Ausfuehren - regedit [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Start"=dword:00000004 - in 2 aendern [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled"=dword:00000001 - mit rechtsklick in 0 aendern "AntiVirusDisableNotify"=dword:00000001 - mit rechtsklick in 0 aendern "FirewallDisableNotify"=dword:00000001 - mit rechtsklick in 0 aendern [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000000 - in 1 aendern PC neustarten berichte, ob die XP-Firewall aktiviert ist - und ob der Rechner rund laeuft __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.11.2006 um 10:59 Uhr von Sabina editiert.
|
|
|
||
07.11.2006, 15:21
Member
Themenstarter Beiträge: 28 |
#23
Also Norton hat sich beschwert das doch tatsächlich die Windows-Firewall angestellt wurde....hab dann nach der Frage welche verwendet werden soll die von Windows angegeben (da ich Norton deinstallieren möchte)
|
|
|
||
07.11.2006, 16:49
Ehrenmitglied
Beiträge: 29434 |
#24
Zitat Norton hat sich beschwertkein Kommentar, ich verstehe das auch nicht... eigentlich sollte er mit der XP-Firewall auskommen wenn du den norton deinstallierst, denke ueber einen anderen Virenguard nach. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.11.2006, 17:19
Member
Themenstarter Beiträge: 28 |
#25
ich muss jetzt erstmal aufräumen....*g*
Ich hab jetzt so viele verschiedene Sachen drauf...werde wohl AntiVir behalten und zusätzlich noch ZoneAlarm holen. Und mich danach von allem überflüssigem trennen...*g* |
|
|
||
23.11.2006, 20:41
Member
Themenstarter Beiträge: 28 |
#26
Und wieder was neues....die Sache scheint doch noch nicht so ganz abgeschlossen gewesen zu sein.
TR/PSW.ICQ.Delf.K wurde jetzt von AntiVir gefunden...im Internet finde ich zu diesem Trojaner rein garnichts...als ob der garnicht existiert. Auf jeden Fall (wie der Name schon sagt) benutze ich ICQ...und zwar den Client QIP. Eine Neuinstallation bringt nichts, weil sobald er die Programmdatei qip.exe wieder neu erstellt wird mir wieder die trojanermeldung angezeigt. Was muss ich diesmal posten? *g* EDIT: OK ich habe gerade doch noch was gefunden...scheint wohl ein Fehlalarm zu sein....bzw insbesondere zwischen AntiVir und QIP seid der letzten Virendefinition nicht mehr zu funktionieren. http://qip.torstenmaue.net/qipexe-=-und-gt-trojan--t415.html Jetzt meine Frage: Wie kann ich AnitVir erklären das er die Datei ausführen soll obwohl das Programm ja meint es ist ein Trojaner? Dieser Beitrag wurde am 23.11.2006 um 20:47 Uhr von TheIncredibl editiert.
|
|
|
||
24.11.2006, 00:11
Ehrenmitglied
Beiträge: 29434 |
#27
damit solltest du dich direkt an Antivirus wenden
http://forum.antivir-pe.de/index.php __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren
2.
scanne mit kaspersky und sophos (das laden der virensignateren wird lange dauern)
und poste die scanreporte
http://virus-protect.org/multiavtool.html
__________
MfG Sabina
rund um die PC-Sicherheit