Antivir findet TR/PSW.PdPi.CT.1.D, läst sich nicht löschen!!!

#16 du kannst noch einen Onlinescan mit kaspersky machen:
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo Sabins,
der 1. Scan mit Kaspersky war ok, im 2. Scan hat er noch wieder infizierte Dateien gefunden!!!

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 86284
Viren gefunden: 2
Infizierte Objekte gefunden: 37 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:05:25

Ich habe mir den Report als TXT Datei abgespeichert. Er ist ellenlang und enthält natürlich auch private Daten, darum möchte ich den hier nicht posten...

Was mach ich denn jetzt "heul"

Bin für Deine Hilfe echt dankbar!!!

Gruß Birgit

#18 Infizierte Objekte gefunden: 37 / 0

kopiere ab, welche es sind - den Pfad
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Ich weiß gar nicht so wirklich was ich aus dem Kuddelmuddel rauskopieren
soll... Kaspersky findet u.a. Emails, die ich nicht finden kann...

Trojan-Spy.HTML.Bankfraud.od

hier mal nur ein kurzer Ausschnitt:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\bho\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\bho\Eigene Dateien\Website\Bib's NEU\bibi 2006 24-okt-06.3dc Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\bho\Eigene Dateien\Website\Bib's NEU\bibi 2006 24-okt-06.3dc.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\bho\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D10AF7FA-A27D-4EB2-842A-D270E1DB333B}\Message Store\Deleted Items.imm/[From "Volksbanken Raiffeisenbanken 2006" <supprefnum80745148@volksbank.de>][Date Mon, 15 May 2006 21:58:02 +0200]/html Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.od übersprungen
C:\Dokumente und Einstellungen\bho\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D10AF7FA-A27D-4EB2-842A-D270E1DB333B}\Message Store\Deleted Items.imm/[From "VOLKSBANKEN RAIFFEISENBANKEN AG 2006" <customercare-9427111204199@volksbank.de>][Date Mon, 15 May 2006 22:47:30 +0200]/UNNAMED/html Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.od übersprungen

HILFEEEEE

Ich habe die Trojaner-Datei gerade in der Quarantäne von Antivir gefunden!!!
Was mache ich jetzt mit der Datei????????????????????

#20 der Haxdoor ist ueber eine verseuchte Mail auf den Rechner gelangt, eine Mail, die du geoeffnet und den Anhang angeklickt hast - ein unverzeihlicher Fehler

so kann man die Mails restlos aus der Inbox zu entfernen:
1. Mails aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo Sabina,
ich benutze Incredimail, wo finde ich Inbox komprimieren?

Wie lösche ich die Trojaner-Datei aus der Antivir Quarantäne richtig?

#22 1.
Incredimail ist nicht zu empfehlen, da es Spyware enthaelt, diverse Spywarescanner empfehlen das Entfernen.

2.
keine Ahnung wie man dort komprimiert

3.
falls der Antivirus etwas in Quarantaene hat, so kann es dort bleiben - kein Problem.

4.
bei Gelegenheit setze dein System neu auf (Formatieren)
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo,

der gleiche Trojaner ist auf dem Laptop meines Onkels.

Kann ich die gleiche Vorgehensweise wie oben durchziehen oder muss der Trojaner individuell entfernt werden?

#24 Gotty

arbeite das ab und poste folgende logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Habe mir folgenden Trojaner eingefangen:

Screenshot:

http://img447.imageshack.us/my.php?image=trojaneryo9.jpg

Immer wenn ich ein AntiSpyware-Programm starte und dieses bei den Dateien des Virus angelangt startet sich mein PC automatisch neu! D.h. Adaware und Co. können meinen PC nicht reinigen und den Trojaner auch nicht entfernen.

Hier meine Logs:

1. Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18:08:56, on 07.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\soundman.exe
E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
E:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\opera\opera.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\hijackthis_199\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} - C:\WINDOWS\naelq1.dll (file missing)
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe

O20 - Winlogon Notify: scsiusr4 - C:\WINDOWS\SYSTEM32\scsiusr4.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\ipod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe

2. Combofix:

Dr.SwifT - 06-12-07 18:14:45,01 Service Pack 1
ComboFix 06.11.27W - Running from: "E:\opera"

((((((((((((((((((((((((((((((( Files Created from 2006-11-07 to 2006-12-07 ))))))))))))))))))))))))))))))))))


2006-12-05 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Lavasoft
2006-12-03 03:03 2,619 --a------ C:\WINDOWS\3.EXE
2006-12-03 03:03 10 --a------ C:\WINDOWS\1.bat
2006-12-02 19:26 5,892 C:\WINDOWS\¥OFMIN.EXE
2006-12-02 19:26 47,383 --a------ C:\system.exe
2006-12-02 19:26 26,230 --a------ C:\WINDOWS\ntskrnl.exe
2006-11-24 23:24 306,688 --a------ C:\WINDOWS\IsUninst.exe
2006-11-24 18:15 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-11-24 18:15 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-11-24 18:15 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-11-24 18:15 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-11-24 18:15 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-11-24 18:15 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-11-24 18:14 <DIR> d-------- C:\WINDOWS\SoftwareDistribution
2006-11-24 18:13 <DIR> d---s---- C:\Dokumente und Einstellungen\Dr.SwifT\UserData
2006-11-19 11:16 15,440 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-11-19 11:16 <DIR> d-------- C:\Programme\Hamachi
2006-11-19 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Hamachi
2006-11-18 10:26 <DIR> d-------- C:\Programme\TVAnts
2006-11-14 21:39 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-11-14 21:36 611,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-04 18:29 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-04 18:17 11973 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-12-02 19:26 5892 --a------ C:\WINDOWS\¥OFMIN.EXE
2006-11-26 18:58 -------- d---s---- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Microsoft
2006-11-24 23:51 -------- d-------- C:\Programme\Gemeinsame Dateien\InterVideo
2006-11-24 22:34 -------- d-------- C:\Programme\PartyGaming.Net
2006-11-24 18:15 -------- d--h----- C:\Programme\WindowsUpdate
2006-11-21 22:22 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-14 22:44 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-12 14:13 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\teamspeak2
2006-11-07 16:34 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-05 11:14 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\BitTorrent
2006-11-05 11:13 -------- d-------- C:\Programme\BitTorrent
2006-10-20 14:04 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-07 11:54 57384 --a------ C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Mirabilis ICQ"="E:\\PROGRA~1\\ICQ\\ICQNet.exe"
"SoundMan"="soundman.exe"
"EM_EXEC"="E:\\logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDElbyCDFL"="\"E:\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"WinampAgent"="E:\\Winamp\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\windvd\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CashBack]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cashback"
"hkey"="HKLM"
"command"="C:\\Programme\\CashBack\\bin\\cashback.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"E:\\CloneCD\\CloneCDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IMJPMIG"
"hkey"="HKLM"
"command"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"E:\\quicktime\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ImScInst"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="E:\\Norton\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntskrnl.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ntskrnl"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\ntskrnl.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\saap]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="saap"
"hkey"="HKLM"
"command"="e:\\advanceddvdplayer\\saap\\saap.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ÑÒFMÎN.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ÑÒFMÎN"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\ÑÒFMÎN.EXE"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\scsiusr4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-07 18:18:22.05
C:\ComboFix.txt ... 06-12-07 18:18
C:\ComboFix2.txt ... 06-10-31 19:12
C:\ComboFix3.txt ... 06-10-29 20:04





3. datfindbat:

- system 32:

Datentr„ger in Laufwerk E: ist Utilities
Volumeseriennummer: B06B-745D

Verzeichnis von E:\

07.12.2006 18:19 289 datFind.zip
07.12.2006 18:14 381.398 combofix.exe
05.12.2006 23:41 1.482.225 spybotsd14.exe
05.12.2006 23:34 12.038.368 a2FreeSetup.exe
05.12.2006 23:03 2.855.080 aawsepersonal.exe
14.11.2006 21:35 6.766.976 Alcohol120_trial_1.9.5.4521.exe



Tatsächlich haben alle das gleiche Textdokument ausgespuckt.

Freue mich über jegliche Hilfe da ich nicht weiß wie ich den Virus entfernen kann.

#26 swifffer

windows ist auf c:\ und nicht auf e:\ - logisch, dass du die datfindbat auf c:\ entpacken und anwenden musst
+
poste dieses log
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei
__________
MfG Sabina

rund um die PC-Sicherheit

#27 recht hast du!

datfindbat:

-system 32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS\system32

06.12.2006 22:22 0 ksl48.bin
14.11.2006 22:44 43.520 CmdLineExt03.dll
10.11.2006 21:01 2.206 wpa.dbl
29.10.2006 19:10 52.764 perfc009.dat
29.10.2006 19:10 380.350 perfh009.dat
29.10.2006 19:10 391.000 perfh007.dat
29.10.2006 19:10 63.580 perfc007.dat
29.10.2006 19:10 897.954 PerfStringBackup.INI
07.09.2006 11:54 57.384 avsda.dll

- systemtemp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp

08.12.2006 00:06 970 TempICQCLImage9316998006874.html
07.12.2006 23:54 512 ~DFB7E8.tmp
07.12.2006 23:54 16.384 ~DFB7DC.tmp
07.12.2006 23:54 220 jusched.log
07.12.2006 21:44 978 TempICQMagicNumber_9317590031462.html
07.12.2006 21:44 970 TempICQCLImage9316998000457.html
07.12.2006 18:14 16.384 ~DF4165.tmp
07.12.2006 18:13 16.384 ~DFB5F8.tmp
8 Datei(en) 52.802 Bytes
0 Verzeichnis(se), 1.471.401.984 Bytes frei

- windows

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS

08.12.2006 00:06 848 win.ini
07.12.2006 23:54 0 0.log
07.12.2006 23:54 2.048 bootstat.dat
07.12.2006 21:45 32.642 SchedLgU.Txt
07.12.2006 21:45 50 wiaservc.log
07.12.2006 21:45 216 wiadebug.log
04.12.2006 18:30 227 system.ini
04.12.2006 18:22 2.619 3.EXE
04.12.2006 18:22 10 1.bat
02.12.2006 19:26 26.230 ntskrnl.exe
02.12.2006 19:26 5.892 ¥ãFM×N.EXE
02.12.2006 17:32 40 nero.INI
26.11.2006 19:56 1.522.668 setupapi.log
24.11.2006 23:23 81.678 DirectX.log
24.11.2006 18:18 51.494 WindowsUpdate.log
30.10.2006 21:14 106.666 ntbtlog.txt
30.10.2006 21:14 184.756 setupact.log

- temp
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS\Temp


(leer)

- down

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

(leer)

- c:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\

08.12.2006 00:10 0 sys.txt
08.12.2006 00:10 585 down.txt
08.12.2006 00:10 117 tmp.txt
08.12.2006 00:09 7.704 system.txt
08.12.2006 00:08 710 systemtemp.txt
08.12.2006 00:07 100.914 system32.txt
07.12.2006 23:53 1.073.270.784 hiberfil.sys
07.12.2006 23:53 805.306.368 pagefile.sys
07.12.2006 18:18 10.765 ComboFix.txt
04.12.2006 18:30 194 boot.ini
02.12.2006 19:26 47.383 system.exe
31.10.2006 19:12 9.781 ComboFix2.txt
30.10.2006 21:13 1.122 rapport.txt
29.10.2006 20:04 10.672 ComboFix3.txt
29.10.2006 19:53 1.232 c.txt
04.10.2006 09:23 668 datFind.bat
04.02.2005 12:58 177 BWScanner.ini
05.01.2005 11:50 24.277.024 dotnetfx.exe
12.11.2004 19:41 0 IO.SYS
12.11.2004 19:41 0 CONFIG.SYS

f-secure blacklight:


12/08/06 00:13:22 [Info]: BlackLight Engine 1.0.47 initialized
12/08/06 00:13:22 [Info]: OS: 5.1 build 2600 (Service Pack 1)
12/08/06 00:13:23 [Note]: 7019 4
12/08/06 00:13:23 [Note]: 7005 0
12/08/06 00:13:29 [Note]: 7006 0
12/08/06 00:13:29 [Note]: 7011 1360
12/08/06 00:13:29 [Note]: 7026 0
12/08/06 00:13:29 [Note]: 7026 0
12/08/06 00:13:35 [Note]: FSRAW library version 1.7.1020
12/08/06 00:14:07 [Info]: Hidden file: c:\WINDOWS\system32\scsipsrvc.sys
12/08/06 00:14:07 [Note]: 10002 1
12/08/06 00:14:07 [Info]: Hidden file: c:\WINDOWS\system32\scsiusr4.dll
12/08/06 00:14:10 [Note]: 7002 0
12/08/06 00:14:10 [Note]: 7003 1
12/08/06 00:14:10 [Note]: 10002 1
12/08/06 00:15:03 [Note]: 7007 0

#28 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

scsipsrvc

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#29 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 08.12.2006 00:23:59 for strings:
; 'scsipsrvc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC\0000]
"Service"="scsipsrvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC\0000\Control]
"ActiveService"="scsipsrvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\scsipsrvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\scsipsrvc]
; Contents of value:
; \??\c:\windows\system32\scsipsrvc.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\
6d,33,32,5c,73,63,73,69,70,73,72,76,63,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\scsipsrvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\scsipsrvc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\scsipsrvc\Enum]
"0"="Root\\LEGACY_SCSIPSRVC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCSIPSRVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCSIPSRVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCSIPSRVC\0000]
"Service"="scsipsrvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\scsipsrvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\scsipsrvc]
; Contents of value:
; \??\c:\windows\system32\scsipsrvc.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\
6d,33,32,5c,73,63,73,69,70,73,72,76,63,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\scsipsrvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC\0000]
"Service"="scsipsrvc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC\0000\Control]
"ActiveService"="scsipsrvc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsrvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsrvc]
; Contents of value:
; \??\c:\windows\system32\scsipsrvc.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\
6d,33,32,5c,73,63,73,69,70,73,72,76,63,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsrvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsrvc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsrvc\Enum]
"0"="Root\\LEGACY_SCSIPSRVC\\0000"

; End Of The Log...

#30 swifffer

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CashBack
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntskrnl.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\scsiusr4
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ÑÒFMÎN.EXE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\scsipsrvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCSIPSRVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\scsipsrvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsrvc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}

Files to delete:
C:\system.exe
C:\WINDOWS\3.EXE
C:\WINDOWS\1.bat
C:\WINDOWS\ntskrnl.exe
C:\WINDOWS\¥ãFM×N.EXE
C:\WINDOWS\ntskrnl.exe
C:\WINDOWS\system32\ksl48.bin
c:\WINDOWS\system32\scsipsrvc.sys
c:\WINDOWS\system32\scsiusr4.dll

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
poste hier das log vom Avenger, was nach Neustart erscheint
««
loesche das backup unter C:\Avenger\backup.zip und leere den Papierkorb

**
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} - C:\WINDOWS\naelq1.dll (file missing)

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit