Unbekannter Virus

#16 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als lis.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die lis.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files\Microsoft" >>files.txt
notepad files.txt

__________

kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\svhost32*.*" > c:\find.txt & start notepad c:\find.txt

__________________________

in regsearch kopieren:

svhost32

poste, was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#17 lis.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\uninstall

22.12.2006 22:02 <DIR> .
22.12.2006 22:02 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.843.069.440 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\down

27.11.2006 17:41 <DIR> .
27.11.2006 17:41 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.843.069.440 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\Intel

27.11.2006 16:07 <DIR> .
27.11.2006 16:07 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.843.065.344 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\Program Files

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\Download

27.11.2006 17:41 <DIR> .
27.11.2006 17:41 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.843.065.344 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\Program Files

27.11.2006 16:42 <DIR> .
27.11.2006 16:42 <DIR> ..
27.11.2006 16:42 <DIR> ICQLite
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 4.843.065.344 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\Windows

24.12.2006 12:42 <DIR> .
24.12.2006 12:42 <DIR> ..
25.12.2006 18:24 0 0.log
27.11.2006 16:01 <DIR> addins
18.08.2001 13:00 17.336 Angler.bmp
27.11.2006 16:04 <DIR> AppPatch
18.08.2001 13:00 1.272 Blaue Spitzen 16.bmp
30.11.2006 21:20 32 CDE R240R245EU.ini
18.08.2001 13:00 82.944 clock.avi
27.11.2006 15:29 15.711 comsetup.log
27.11.2006 16:01 <DIR> Config
27.11.2006 16:01 <DIR> Connection Wizard
27.11.2006 15:26 0 control.ini
27.11.2006 15:22 <DIR> Cursors
25.12.2006 18:24 <DIR> Debug
18.08.2001 13:00 2 desktop.ini
27.11.2006 17:41 <DIR> down
27.11.2006 17:41 <DIR> Download
27.11.2006 16:01 <DIR> Driver Cache
27.11.2006 15:23 128 DtcInstall.log
30.11.2006 21:20 93 EPSMTL32.TXT
30.11.2006 21:17 6.608 epsswt_log.txt
30.11.2006 18:05 148.456 EPSTPLOG.BAK
30.11.2006 21:20 175.942 EPSTPLOG.TXT
18.08.2001 13:00 1.004.032 explorer.exe
18.08.2001 13:00 80 explorer.scf
27.11.2006 15:23 11.537 FaxSetup.log
18.08.2001 13:00 16.730 Feder.bmp
18.08.2001 13:00 26.680 F„cher.bmp
18.08.2001 13:00 26.582 Granit.bmp
25.12.2006 11:58 32 HCWBTDLG.INI
25.12.2006 10:48 463 HCWPNP.INI
27.11.2006 21:36 <DIR> Help
18.08.2001 13:00 26.647 hh.exe
24.12.2006 13:30 1.563 IE4 Error Log.txt
27.11.2006 15:29 699 iis6.log
27.11.2006 15:26 <DIR> ime
27.11.2006 15:29 4.438 imsins.log
27.11.2006 16:07 <DIR> Intel
21.10.1998 18:43 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
27.11.2006 16:01 <DIR> java
18.08.2001 13:00 17.062 Kaffeetasse.bmp
27.11.2006 16:04 <DIR> Media
14.12.2006 00:43 <DIR> Minidump
27.11.2006 16:03 <DIR> msagent
27.11.2006 16:01 <DIR> msapps
18.08.2001 13:00 1.405 msdfmap.ini
27.11.2006 15:23 821 msgsocm.log
27.11.2006 16:01 <DIR> mui
18.08.2001 13:00 67.072 NOTEPAD.EXE
01.12.2006 08:57 374 nsw.log
22.12.2006 20:25 345.312 ntbtlog.txt
27.11.2006 15:29 7.741 ntdtcsetup.log
27.11.2006 21:36 <DIR> nview
27.11.2006 15:23 12.817 ocgen.log
27.11.2006 15:23 1.065 ocmsn.log
17.12.2006 22:05 400 ODBC.INI
27.11.2006 15:26 4.161 ODBCINST.INI
27.11.2006 15:31 820 OEWABLog.txt
27.11.2006 15:25 <DIR> Offline Web Pages
17.12.2006 21:54 <DIR> PCHEALTH
25.12.2006 14:26 <DIR> Prefetch
18.08.2001 13:00 65.954 Pr„riewind.bmp
18.08.2001 13:00 141.312 regedit.exe
27.11.2006 15:46 <DIR> RegisteredPackages
27.11.2006 15:26 <DIR> Registration
27.11.2006 15:30 8.192 REGLOCS.OLD
27.11.2006 15:06 1.348 regopt.log
27.11.2006 15:26 <DIR> repair
27.11.2006 16:01 <DIR> Resources
18.08.2001 13:00 17.362 Rhododendron.bmp
18.08.2001 13:00 65.832 Santa Fe-Stuck.bmp
25.12.2006 14:44 23.304 SchedLgU.Txt
27.11.2006 15:52 <DIR> security
18.08.2001 13:00 65.978 Seifenblase.bmp
27.11.2006 15:23 1.060 sessmgr.setup.log
18.08.2001 13:00 1.085.913 SET3.tmp
18.08.2001 13:00 13.898 SET7.tmp
27.11.2006 15:29 169.388 setupact.log
24.12.2006 11:06 1.018.114 setupapi.log
27.11.2006 15:05 0 setuperr.log
22.12.2006 23:14 701.251 setuplog.txt
27.11.2006 15:56 <DIR> SHELLNEW
27.11.2006 15:24 <DIR> srchasst
27.11.2006 15:08 0 Sti_Trace.log
13.12.2006 22:19 <DIR> Sun
17.12.2006 21:49 <DIR> system
27.11.2006 15:06 231 system.ini
22.12.2006 22:30 <DIR> system32
18.08.2001 13:00 15.872 TASKMAN.EXE
25.12.2006 18:24 <DIR> Temp
27.11.2006 15:29 8.315 tsoc.log
18.08.2001 13:00 94.800 twain.dll
27.11.2006 16:04 <DIR> twain_32
18.08.2001 13:00 46.592 twain_32.dll
18.08.2001 13:00 49.680 twunk_16.exe
18.08.2001 13:00 25.600 twunk_32.exe
22.12.2006 22:02 <DIR> uninstall
27.11.2006 15:23 36 vb.ini
27.11.2006 15:23 37 vbaddin.ini
18.08.2001 13:00 18.944 vmmreg32.dll
27.11.2006 15:25 <DIR> Web
25.12.2006 14:28 601 wiadebug.log
25.12.2006 14:28 50 wiaservc.log
27.11.2006 15:58 599 win.ini
22.12.2006 22:19 26.002 Windows Update.log
18.08.2001 13:00 257.568 winhelp.exe
18.08.2001 13:00 271.872 winhlp32.exe
27.11.2006 15:05 <DIR> WinSxS
18.08.2001 13:00 34.818 wmprfDEU.prx
10.12.2006 13:59 43.147 wmsetup.log
27.11.2006 15:46 240 wmsetup10.log
27.11.2006 15:45 316.640 WMSysPr9.prx
27.11.2006 15:45 299.552 WMSysPrx.prx
18.08.2001 13:00 9.522 Zapotek.bmp
18.08.2001 13:00 707 _default.pif
28.11.2006 21:56 272 _delis32.ini
79 Datei(en) 7.563.052 Bytes
39 Verzeichnis(se), 4.843.061.248 Bytes frei

cmd.Svhost

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

RegSearch.SvHost

EGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.12.2006 02:47:21 for strings:
; 'svhost32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ms"="C:\\Program Files\\Microsoft\\svhost32.exe"
"wl"="C:\\WINDOWS\\Download\\svhost32.exe"

; End Of The Log...

#18 1.
Cleanup anwenden
http://virus-protect.org/cleanup.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|r
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rzt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|load
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ms
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|wl

Files to delete:
C:\Windows\IE4 Error Log.txt
C:\Program Files\Microsoft\svhost32.exe
C:\WINDOWS\down\rundll32.exe
C:\WINDOWS\Download\svhost32.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\WINDOWS\Intel\rundll32.exe
c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\gtb2k1031.exe
c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\$$a9.bat

Folders to delete:
c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\WER3.tmp.dir00

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
poste das log vom avenger, was nach neustart erscheint + das neue log vom hijackthis
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sqkupafh

*******************

Script file located at: \??\C:\rboxglob.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Windows\IE4 Error Log.txt deleted successfully.


Could not open file C:\Program Files\Microsoft\svhost32.exe for deletion
Deletion of file C:\Program Files\Microsoft\svhost32.exe failed!

Could not process line:
C:\Program Files\Microsoft\svhost32.exe
Status: 0xc000003a



File C:\WINDOWS\down\rundll32.exe not found!
Deletion of file C:\WINDOWS\down\rundll32.exe failed!

Could not process line:
C:\WINDOWS\down\rundll32.exe
Status: 0xc0000034



File C:\WINDOWS\Download\svhost32.exe not found!
Deletion of file C:\WINDOWS\Download\svhost32.exe failed!

Could not process line:
C:\WINDOWS\Download\svhost32.exe
Status: 0xc0000034



File C:\WINDOWS\uninstall\rundl132.exe not found!
Deletion of file C:\WINDOWS\uninstall\rundl132.exe failed!

Could not process line:
C:\WINDOWS\uninstall\rundl132.exe
Status: 0xc0000034



File C:\WINDOWS\Intel\rundll32.exe not found!
Deletion of file C:\WINDOWS\Intel\rundll32.exe failed!

Could not process line:
C:\WINDOWS\Intel\rundll32.exe
Status: 0xc0000034

File c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\gtb2k1031.exe deleted successfully.
File c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\$$a9.bat deleted successfully.
Folder c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\WER3.tmp.dir00 deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|r deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rzt deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|load deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ms deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|wl deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

HiJackThis

Logfile of HijackThis v1.99.1
Scan saved at 14:13:16, on 26.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Transfer\Protect\HiJackThis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#20 kommst du zurecht mit umkopieren und verschieben ???
dann wende sysclean an und poste den scanreport
http://virus-protect.org/sysclean_trendmicro.html
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Um ehrlich zu sein: Ich brauche da schon noch ne Anleitung...

Ich habe jetzt den Syscleaner und den Pattern:

lpt143.zip (AS/400, S/390, Windows) 14.9MB
MD5 checksum: 59944c296c6fb0c526b51e47ef7289b5

runtergeladen. Sind das die richtigen Dateien?

Also kopieren kann ich da nichts (aus dem Log)

Aber da stand execute Pattern 3024.. Virus found & Clean; Clean Count 0

Als TrendMicro gescannt hat, kam eine Virenmeldung von Anti Vir DR/180Solutions.AO.15

#22

Zitat

Virus found & Clean; Clean Count 0

das ist o.k.

scanne zum Schluss noch mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html

wenn waehrend der scans der antivirus was meldet, so loesche, was er anzeigt-
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Bei dem Kaspersky-scan bin ich gar nicht mehr aus dem Klicken herausgekommen. Der Scan ist zwar gerade erst bei 20% (läuft schon über eine Stunde) aber es kamen 50 Virenmeldungen über Trojaner. Allesamt aus dem folgenden Bereich

C:\System Volume Information\A00000414 (u.a)

Die Virentypen:

TR/Crypt.NSPM.Gen - Trojan
TR/PSW.OnLineGames.CC.1
TR/PSW.Steal.23017

#24 kein Problem:

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann scanne noch mal
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Systemwiederherstellung ist deaktiviert. Nach ca 2 Stunden das Ergebnis:

Kapersky-Report

Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Arbeitsplatz
A:\
C:\
D:\
E:\
F:\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 53159
Viren gefunden 3
Infizierte Objekte gefunden 49 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 02:06:17

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006122620061227\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Besitzer\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

C:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\change.log Das Objekt ist gesperrt übersprungen

C:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP4\A0004439.EXE Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\oakley.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Downloaded Program Files\daas.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

D:\Ruben\Programme\Shares\Shared\PC Lord of the Rings Battle for Middle Earth (SuprNova) no CD crack.exe/username.exe Infizierte Objekte: Trojan-Downloader.Win32.Small.ya übersprungen

D:\Ruben\Programme\Shares\Shared\PC Lord of the Rings Battle for Middle Earth (SuprNova) no CD crack.exe/wudupdate.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.gen übersprungen

D:\Ruben\Programme\Shares\Shared\PC Lord of the Rings Battle for Middle Earth (SuprNova) no CD crack.exe SetupFactory: infiziert - 2 übersprungen

D:\Ruben\Programme\Shares\Shared\US Lord of the Rings Battle for Middle Earth [EselFilme].exe/username.exe Infizierte Objekte: Trojan-Downloader.Win32.Small.ya übersprungen

D:\Ruben\Programme\Shares\Shared\US Lord of the Rings Battle for Middle Earth [EselFilme].exe/wudupdate.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.gen übersprungen

D:\Ruben\Programme\Shares\Shared\US Lord of the Rings Battle for Middle Earth [EselFilme].exe SetupFactory: infiziert - 2 übersprungen

D:\Ruben\Programme\Shares\Shared\[PC Game NO CD] Lord of the Rings Battle for Middle Earth.exe/username.exe Infizierte Objekte: Trojan-Downloader.Win32.Small.ya übersprungen

D:\Ruben\Programme\Shares\Shared\[PC Game NO CD] Lord of the Rings Battle for Middle Earth.exe/wudupdate.exe Infizierte Objekte: Trojan-Downloader.Win32.IstBar.gen übersprungen

D:\Ruben\Programme\Shares\Shared\[PC Game NO CD] Lord of the Rings Battle for Middle Earth.exe SetupFactory: infiziert - 2 übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP1\A0000027.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP1\A0000138.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP18\A0008711.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP18\A0008712.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP18\A0008713.EXE Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP18\A0008714.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP18\A0008715.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP18\A0008716.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP18\A0008717.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP20\A0008952.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP20\A0008953.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP20\A0008954.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP20\A0008955.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP25\A0010426.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014687.EXE Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014688.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014689.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014690.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014691.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014692.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014693.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014694.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014695.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014696.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014697.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014698.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014699.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014700.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014701.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014702.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014703.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014704.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014705.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014706.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\A0014707.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP27\change.log Das Objekt ist gesperrt übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP4\A0000364.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP4\A0005452.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP5\A0005531.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP8\A0007557.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

D:\System Volume Information\_restore{08E98D2D-E0B9-4E0A-BEBE-036B96110B10}\RP8\A0007559.exe Infizierte Objekte: Worm.Win32.Viking.ci übersprungen

Die Untersuchung wurde abgeschlossen.

#26 wenn die Systemwiederstellung auf allen Partitionen deaktiviert ist - muesste alles wieder i.o. sein.
nun sichere deine wichtigen Daten, formatiere und komme wieder mit dem neuen Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Ja besten Dank...

Nur noch mal zur Sicherheit: Kann ich den PC jetzt halbwegs gefahrlos vernetzen und die Daten via Direktverbindung austauschen???

Vielen Dank nochmal, frohe Restweihnacht und nen guten Rutsch

#28 ja, aber nur Textdateien, Fotos und eventuell wichtige Programme.........
und vergiss dann nicht die Windowsupdates, damit du uns nicht so bald wieder beehren musst
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Ich habe mich drum gekümmert... Ja Textdateien, MS-Office Dateien aber sonst nix großes...

Dann bis hoffentlich nicht all zu bald...