Home » Viren, Trojaner & Malware Forum » Antivir findet TR/PSW.PdPi.CT.1.D, läst sich nicht löschen!!! » Themenansicht
Antivir findet TR/PSW.PdPi.CT.1.D, läst sich nicht löschen!!!Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
04.11.2006, 18:03
Member
Beiträge: 20 |
||
 
|
|
|
|
05.11.2006, 02:52
Ehrenmitglied
 Beiträge: 29434 |
#2
die Internetverbindung wird auf einen Server in die Ukraine umgeleitet...
 0. poste dieses log http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei 1. scanne +poste dieses log http://virus-protect.org/artikel/tools/fixwareout.html 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.11.2006, 16:49
Member
Themenstarter Beiträge: 20 |
#3
Hallo Sabina,
hoffe mal, dass ich alles richtig gemacht habe... hier die TXT Dateien: 11/05/06 16:11:44 [Info]: BlackLight Engine 1.0.47 initialized 11/05/06 16:11:44 [Info]: OS: 5.1 build 2600 (Service Pack 2) 11/05/06 16:11:44 [Note]: 7019 4 11/05/06 16:11:44 [Note]: 7005 0 11/05/06 16:11:47 [Note]: 7006 0 11/05/06 16:11:47 [Note]: 7011 1900 11/05/06 16:11:48 [Note]: 7026 0 11/05/06 16:11:48 [Note]: 7026 0 11/05/06 16:12:00 [Note]: FSRAW library version 1.7.1020 11/05/06 16:17:56 [Note]: 7007 0 Fixwareout ver 1.003 Last edited 8/11/2006 Post this report in the forums please Reg Entries that were deleted ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Searching by size/names... »»»»» Search five digit cs, dm and jb files. This WILL/CAN also list Legit Files, Submit them at Virustotal C:\WINDOWS\SYSTEM32\CSUAJ.EXE 51.200 2006-01-04 Other suspects. Directory of C:\WINDOWS\system32 »»»»» Misc files. »»»»» Checking for older varients covered by the Rem3 tool. Fixwareout ver 1.003 Last edited 8/11/2006 Post this report in the forums please Reg Entries that were deleted ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Searching by size/names... »»»»» Search five digit cs, dm and jb files. This WILL/CAN also list Legit Files, Submit them at Virustotal C:\WINDOWS\SYSTEM32\CSUAJ.EXE 51.200 2006-01-04 Other suspects. Directory of C:\WINDOWS\system32 »»»»» Misc files. »»»»» Checking for older varients covered by the Rem3 tool. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3C6F-6CCA Verzeichnis von C:\WINDOWS\system32 01.11.2006 12:14 2.206 wpa.dbl 30.10.2006 12:20 3.056 045454.sys 30.10.2006 12:20 6.688 00xstemp.exe 29.10.2006 16:23 380.486 perfh009.dat 29.10.2006 16:23 52.900 perfc009.dat 29.10.2006 16:23 391.330 perfh007.dat 29.10.2006 16:23 63.778 perfc007.dat 29.10.2006 16:23 897.954 PerfStringBackup.INI 23.10.2006 13:45 0 regepsrvc.sys 23.10.2006 13:45 0 ksl48.bin 02.10.2006 18:58 24.072 uxtuneup.dll 07.09.2006 12:10 57.384 avsda.dll 31.08.2006 10:55 663.840 wodHttp.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3C6F-6CCA Verzeichnis von C:\DOKUME~1\bho\LOKALE~1\Temp 05.11.2006 16:40 692 jusched.log 05.11.2006 16:37 917.504 MFPL7014.DLL 05.11.2006 16:35 512 ~DFCF15.tmp 05.11.2006 16:35 16.384 ~DFCF01.tmp 05.11.2006 15:51 16.384 ~DFE8B4.tmp 05.11.2006 15:46 16.384 ~DF7DC9.tmp 05.11.2006 13:01 512 ~DF840B.tmp 05.11.2006 13:01 16.384 ~DF81A4.tmp 05.11.2006 07:41 16.384 ~DF19CF.tmp 9 Datei(en) 1.001.140 Bytes 0 Verzeichnis(se), 23.059.677.184 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3C6F-6CCA Verzeichnis von C:\WINDOWS 05.11.2006 16:23 0 0.log 05.11.2006 16:23 1.238.531 WindowsUpdate.log 05.11.2006 16:23 159 wiadebug.log 05.11.2006 16:23 50 wiaservc.log 05.11.2006 16:22 2.048 bootstat.dat 05.11.2006 16:21 668 SchedLgU.Txt 05.11.2006 15:50 1.029.828 setupapi.log 05.11.2006 15:46 878 win.ini 05.11.2006 15:46 231 system.ini 05.11.2006 15:46 4.964 mailremv.log 05.11.2006 15:45 434 INST_TSP.LOG 05.11.2006 15:45 33.081 ESCAN.LOG 05.11.2006 15:38 730 general.log 05.11.2006 15:38 1.005 frights.log 05.11.2006 00:39 589 MAILINST.LOG 05.11.2006 00:27 4.663.977 REGBK00.ZIP 05.11.2006 00:20 135.778 winsbak2.reg 05.11.2006 00:20 18.706 winsbak.reg 29.10.2006 23:17 30 Iedit.INI 08.10.2006 16:09 54.156 QTFont.qfn 18.09.2006 16:59 264 KTEL.INI 12.09.2006 21:49 1.838 rvsmsp32.INI 07.09.2006 00:55 188.331 setupact.log 18.08.2006 00:48 468 BRWMARK.INI Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3C6F-6CCA Verzeichnis von C:\ 05.11.2006 16:43 0 sys.txt 05.11.2006 16:43 13.051 system.txt 05.11.2006 16:43 683 systemtemp.txt 05.11.2006 16:42 108.871 system32.txt 05.11.2006 16:22 268.435.456 pagefile.sys 05.11.2006 15:45 0 23990098.$$$ 05.11.2006 00:20 202 bootini.uns 23.06.2005 09:31 411.580 fnGetLangString.txt Gruß Birgit Logfile of HijackThis v1.99.1 Scan saved at 16:55:52, on 05.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\AntiVir PersonalEdition Premium\sched.exe C:\Programme\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe C:\WINDOWS\system32\Brmfrmps.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe C:\Programme\RVS\WCOM\SYSTEM\ccui.exe C:\Programme\RVS\WCOM\SYSTEM\ccsrv.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\IncrediMail\bin\IncMail.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\bho\LOKALE~1\Temp\Rar$EX02.272\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\RVS\WCOM\SYSTEM\ccui.exe" O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file) O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Dieser Beitrag wurde am 05.11.2006 um 16:57 Uhr von maju editiert.
|
|
|
|
|
|
|
05.11.2006, 17:13
Ehrenmitglied
Beiträge: 29434 |
#4
««
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: regepsrvc Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) _______________________________________________________________ du kannst Haxfix anwenden http://users.telenet.be/marcvn/spyware/1585977.htm _______________________________________________________________ «« Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb «« F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport ________________________________- Zitat Description of REGEPSRVC.SYS __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.11.2006 um 18:45 Uhr von Sabina editiert.
|
|
|
|
|
|
|
05.11.2006, 18:37
Member
Themenstarter Beiträge: 20 |
#5
REGEDIT4
; RegSrch.vbs © Bill James ; Registry search results for string "regepsrvc" 05.11.2006 18:33:03 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\regepsrvc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\regepsrvc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\regepsrvc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\regepsrvc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\regepsrvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\regepsrvc\Security] |
|
|
|
|
|
|
05.11.2006, 18:45
Ehrenmitglied
Beiträge: 29434 |
#6
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb «« F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.11.2006, 22:22
Member
Themenstarter Beiträge: 20 |
#7
Hallo Sabina,
habe mit "F-Secure Online Scanner Next Generation Beta" gescannt, jetzt werde ich gefragt: "Automatic cleaning" oder "I want to decide item by item" von "Show report" steht da nichts..... was muss ich jetzt machen? Gruß Birgit |
|
|
|
|
|
|
05.11.2006, 22:24
Ehrenmitglied
Beiträge: 29434 |
#8
Automatic cleaning - dann lass es dabei und berichte, ob man nicht doch sehen kann, ob und was gefunden/geloescht wurde.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.11.2006, 22:29
Member
Themenstarter Beiträge: 20 |
#9
Hier das Ergebniss:
Scanning Report Sunday, November 05, 2006 20:57:53 - 22:30:46 Computer name: WORKSTATION Scanning type: Scan system for viruses, rootkits, spyware Target: C:\ Result: 1 malware found Tracking Cookie (spyware) * System (Disinfected) Statistics Scanned: * Files: 51836 * System: 4500 * Not scanned: 6 Actions: * Disinfected: 1 * Renamed: 0 * Deleted: 0 * None: 0 * Submitted: 0 Files not scanned: * C:\PAGEFILE.SYS * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT * C:\WINDOWS\SYSTEM32\CONFIG\SAM * C:\WINDOWS\SYSTEM32\CONFIG\SECURITY * C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE * C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM Options Scanning engines: * F-Secure AVP: 6.0.171, 2006-11-03 * F-Secure Libra: 2.4.1, 2006-11-02 * F-Secure Orion: 1.2.37, 2006-11-03 * F-Secure Blacklight: 1.0.31, 0000-00-00 * F-Secure Draco: 1.0.35, 0259-24-212 * F-Secure Pegasus: 1.19.0, 2006-08-29 Scanning options: * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX * Use Advanced heuristics |
|
|
|
|
|
|
05.11.2006, 22:46
Ehrenmitglied
Beiträge: 29434 |
||
|
|
|
|
|
05.11.2006, 23:40
Member
Themenstarter Beiträge: 20 |
#11
Hallo Sabina,
hatte nur den Avenger angewendet!? Jetzt nachgeholt: HAXFIX logfile - by Marckie ______________ version 4.28 05.11.2006 23:43:45,17 checking for haxdoor -------------------- checking for a3d files.... a3d files not found checking for matching notify keys.... no matching notify keys found checking for matching services.... matching services found ASPI32 checking for matching safeboot services.... no matching safeboot services found checking for other haxdoorfiles.... Checking for goldun ------------------- checking for SSODL keys.... no ssodl keys found checking for notify keys.... no notify keys found Dieser Beitrag wurde am 05.11.2006 um 23:44 Uhr von maju editiert.
|
|
|
|
|
|
|
05.11.2006, 23:48
Ehrenmitglied
Beiträge: 29434 |
#12
1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. scanne nun mit deinem Antivirus im abgesicherten Modus und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.11.2006, 01:46
Member
Themenstarter Beiträge: 20 |
#13
Hallo Sabina,
habe im abgesicherten Modus gescannt, der Antivir meldet nichts mehr... AntiVir PersonalEdition Premium Erstellungsdatum der Reportdatei: Montag, 6. November 2006 00:03 Es wird nach 546033 Virenstämmen gesucht. Versionsinformationen: AVSCAN.EXE : 7.0.0.47 200744 21.08.2006 10:06:53 AVSCAN.DLL : 7.0.0.45 41000 25.07.2006 11:09:33 LUKE.DLL : 7.0.0.47 118824 07.09.2006 10:32:31 LUKERES.DLL : 7.0.0.47 9256 07.09.2006 10:32:31 ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 10:35:19 ANTIVIR1.VDF : 6.36.0.228 2062336 02.11.2006 12:38:26 ANTIVIR2.VDF : 6.36.0.229 2048 02.11.2006 12:38:26 ANTIVIR3.VDF : 6.36.0.236 56832 03.11.2006 13:05:37 AVEWIN32.DLL : 7.2.0.37 1901056 31.10.2006 19:25:07 AVPREF.DLL : 7.0.0.2 23080 24.07.2006 12:35:49 AVREP.DLL : 6.36.0.144 876584 19.10.2006 13:55:39 AVRPBASE.DLL : 7.0.0.0 2162728 30.03.2006 08:43:10 AVPACK32.DLL : 7.2.0.5 368680 25.10.2006 18:24:58 AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24 NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47 NETNW.DLL : 7.0.0.0 9768 24.07.2006 12:35:42 RCIMAGE.DLL : 7.0.0.74 2150440 01.08.2006 11:36:35 RCTEXT.DLL : 7.0.1.4 77864 28.09.2006 08:55:28 Konfiguration für den aktuellen Suchlauf: Job Name......................: Lokale Laufwerke Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Premium\alldrives.avp Bootsektoren..................: C,D,E,H,F,G Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 2 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: 0 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Montag, 6. November 2006 00:03 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 4 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Im Laufwerk 'E:\' ist kein Datenträger eingelegt! Bootsektor 'H:\' [HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 12 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\bho\ntuser.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\bho\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\bho\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\bho\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Montag, 6. November 2006 01:43 Benötigte Zeit: 1:40:46 min Der Suchlauf wurde vollständig durchgeführt. 8978 Verzeichnisse wurden überprüft 299083 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3995 Archive wurden durchsucht 55 Warnungen 2 Hinweise Dieser Beitrag wurde am 06.11.2006 um 09:58 Uhr von maju editiert.
|
|
|
|
|
|
|
06.11.2006, 10:26
Ehrenmitglied
Beiträge: 29434 |
#14
ich hoffe, dass der Haxdoor restlos ausgeloescht ist....
soweit muesste wieder alles o.k. sein.  Aktiviere wieder die Systemwiederherstellung. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.11.2006, 10:56
Member
Themenstarter Beiträge: 20 |
#15
Hallo Sabina,
das hoffe ich auch! Sollte oder kann ich das vorsichtshalber noch irgendwo prüfen? Vielen Dank für Deine Hilfe!!! Gruß Birgit Dieser Beitrag wurde am 06.11.2006 um 11:25 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Logfile of HijackThis v1.99.1
Scan saved at 17:52:40, on 04.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\bho\LOKALE~1\Temp\Rar$EX00.053\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134036202604
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA74C33F-6863-43D2-ABF4-DCB4F1B0D58A}: NameServer = 85.255.116.156,85.255.112.218
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2D0D2E5-1731-4B04-81E2-E5622B11A873}: NameServer = 85.255.116.156,85.255.112.218
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B52C11-7E06-4E69-A9E3-5AED9EECD6E8}: NameServer = 85.255.116.156,85.255.112.218
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file)
O20 - Winlogon Notify: pasksa - C:\WINDOWS\SYSTEM32\pasksa.dll
O20 - Winlogon Notify: rege2usb - rege2usb.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)