Trojaner Tp/psw.pdpi.ct.1.d

#16 ««
wie ich per PM sehen konnte, ist der Virus auch in dem HijackThis-Log nicht mehr sichtbar

««
Avenger
kopiere rein:

Zitat

Folders to delete:
C:\Programme\Gemeinsame Dateien\fun communications

»»
mache einen Onlinescan mit Panda oder ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hi Sabina,

habe, so glaube ich, einen Fehler gemacht. Ich habe im Backup des
Avengers die Datei Explorer1.exe angeklickt.
Danach hat kaspersky alarm gegeben.
Vielleicht kommen so die Einträge der RESTOREs bei ewira zustande?

Anbei die Reports:

ewido:

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\WegeIngmar\Cookies\wegeingmar@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.Tfag
Path: C:\Dokumente und Einstellungen\WegeIngmar\Cookies\wegeingmar@php.sales.tfag[2].txt
Risk: Medium

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: C:\Games\no_time_limit_11.exe
Risk: Low

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: C:\Programme\Paradox Interactive\Doomsday\no_time_limit_11.exe
Risk: Low

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP1\A0000007.exe
Risk: High

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP1\A0000021.exe
Risk: High

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP1\A0001045.exe
Risk: High

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP1\A0002128.exe
Risk: High

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0002173.exe
Risk: High

Name: Downloader.Agent.uj
Path: C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0002285.exe
Risk: High

Name: Trojan.Small.fb
Path: C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0002286.EXE
Risk: High

Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a
Path: F:\Eigene Dateien\Games\no_time_limit_11.exe
Risk: Low

//----------------------------------------------------------------------

Panda:

Incident Status Location

Virus:Trj/Downloader.LJN Disinfected C:\avenger\backup-23.11.2006-16.00.28,37.zip[avenger/cslbk.exe]
Virus:Trj/Ruins.DP Disinfected C:\avenger\backup-23.11.2006-16.00.28,37.zip[avenger/DMZUY.EXE]
Virus:Trj/Alanchum.JI Disinfected C:\avenger\backup-23.11.2006-16.00.28,37.zip[avenger/explorer1.exe]
Virus:Trj/Alanchum.JI Disinfected C:\Dokumente und Einstellungen\WegeIngmar\Lokale Einstellungen\Temp\explorer1.exe

#18 die backups waren zu loeschen - nicht anzuklicken
C:\avenger\backup-23.11.2006-16.00.28,37.zip


der panda hat jedoch alles deinfiziert, im Grunde muesste wieder alles o.k. sein

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
Scan F-secure/ Online - scanne und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hi Sabina,

anbei der 2. Scan von Panda

Incident Status Location

Adware:adware/miamore Not disinfected Windows Registry
Adware:adware/azesearch Not disinfected Windows Registry
Spyware:spyware/petro-line Not disinfected Windows Registry
Adware:adware/wupd Not disinfected Windows Registry
Spyware:Cookie/Serving-sys Not disinfected C:\Dokumente und Einstellungen\WegeIngmar\Cookies\wegeingmar@serving-sys[1].txt




//----------------------------------------------------------------

Scan von F-Secure


anbei der Scan von Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ E:\ F:\


--------------------------------------------------------------------------------

Result: 1 malware found
W32/Downloader (virus)
C:\DOKUMENTE UND EINSTELLUNGEN\WEGEINGMAR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\G8R1BU4N\JOB[1].EXE (Submitted)

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 27104
System: 4659
Not scanned: 5
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 1
Submitted: 1
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{3FEF98FE-13AF-4E9B-AAE1-1FEF9C34B104}.BIN

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure Libra: 2.4.2, 2006-11-23
F-Secure AVP: 7.0.171, 2006-11-23
F-Secure Orion: 1.2.37, 2006-11-23
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Draco: 1.0.35, 0260-02-44
F-Secure Pegasus: 1.19.0, 2006-08-29

#20 assgardt

1.
avenger

Zitat

Folders to delete:
C:\DOKUMENTE UND EINSTELLUNGEN\WEGEINGMAR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\G8R1BU4N

2.
TuneUp
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

««
dann sollte mehr oder weniger wieder alles i.o. sein (an die Registryeintraege , die der panda anzeigt, komme ich nicht ran...) , allerdings ist der rechner kompromitiert, wenn du mal ans Formatieren denkst, so zoegere nicht.
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hi Sabina,

habe die sachen gemacht, danke!

MFG

#22 melde dich, falls es noch Fragen oder probleme geben sollte...
uebrigens: kompromitiert bedeutet: geoeffnete Ports, kein sauberes Windows mehr - man sollte alle Passworte aendern...., nach so eiem schweren Virenbefall sollte man formatieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hi Sabina,

ich habe formatiert.
Dann will ich Dir mal was spenden.

Dir noch alles Gute!

MFG Assgardt