(Gelbes Dreieck, isamini.exe .....) - AntivirusFuerAlle

#0
15.01.2007, 19:03
Member

Beiträge: 43
#1 Hallo,

brauche dringend mal Hilfe, da ich glaube dass ich mir einen Trojaner (grml) wohl mal eingefangen habe auf dem PC.

Alle gewünschtren daten @ Anhang!

Vielen dank im voraus!!!!!

Mfg - Fabian j.

Seitenanfang Seitenende
16.01.2007, 00:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 neXtar

««
scanne mit smitfraudfix ;)
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Programme\Video ActiveX Object\isaddon.dll

O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Programme\Video ActiveX Object\iesplugin.dll

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.07.2008, 17:56
...neu hier

Beiträge: 5
#3 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53:08, on 13.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AntivirusFuerAlle\stmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\AntivirusFuerAlle\stmon.exe" dm=http://antivirusfueralle.com; ad=http://antivirusfueralle.com
O4 - HKLM\..\Run: [rtasks] C:\Programme\AntivirusFuerAlle\rtasks.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Programme\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187195060781
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1187195040578
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3551D83-DA55-4787-832B-329D1CC1DDBF}: NameServer = 62.220.18.8 89.246.64.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O24 - Desktop Component 0: (no name) - http://fotodoroga.narod.ru/Stations/Photo/Omsk/karasuk-city.jpg

--
End of file - 7872 bytes


Antivirus Aktualisierug läuft nicht mehr auch manuelle nicht.
Benutze F-secure.
Bis heute wars nie.
Was soll ich da machen , hat jemand ne Vorstellung?
Danke.
Seitenanfang Seitenende
13.07.2008, 17:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo, pader

«
wende cleaner an + lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\AntivirusFuerAlle\stmon.exe" dm=http://antivirusfueralle.com; ad=http://antivirusfueralle.com

O4 - HKLM\..\Run: [rtasks] C:\Programme\AntivirusFuerAlle\rtasks.exe
«
wende Combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.07.2008, 19:34
...neu hier

Beiträge: 5
#5 ComboFix 08-07-12.6 - sasha 2008-07-13 19:33:39.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.698 [GMT 2:00]
ausgeführt von:: D:\Progs\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\sasha\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\Downloaded Program Files\setup.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FMTR


((((((((((((((((((((((( Dateien erstellt von 2008-06-13 bis 2008-07-13 ))))))))))))))))))))))))))))))
.

2008-07-13 19:03 . 2008-07-13 19:03 <DIR> d-------- C:\Programme\CCleaner
2008-07-13 17:27 . 2008-07-13 17:27 <DIR> d-------- C:\!KillBox
2008-07-13 17:20 . 2008-07-13 17:20 <DIR> d--hs---- C:\FOUND.045
2008-07-13 17:08 . 2008-07-13 17:08 <DIR> d-------- C:\Programme\Trend Micro
2008-07-12 14:32 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-07-12 14:32 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\dllcache\mouhid.sys
2008-07-12 14:32 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-07-12 14:32 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys
2008-07-11 08:25 . 2008-07-11 08:25 <DIR> d--hs---- C:\FOUND.044
2008-07-08 20:56 . 2008-07-08 20:56 315,392 --a------ C:\WINDOWS\HideWin.exe
2008-07-08 19:55 . 2008-07-08 19:55 <DIR> d-------- C:\Programme\HT Fireman CDDVD Burner 1.4
2008-07-07 21:28 . 2008-07-07 21:28 <DIR> d-------- C:\Programme\Analog Devices
2008-07-07 21:28 . 2001-09-19 07:47 765,952 -ra------ C:\WINDOWS\system\crlds3d.dll
2008-07-07 21:28 . 2006-03-17 12:18 392,960 -ra------ C:\WINDOWS\system32\drivers\senfilt.sys
2008-07-07 21:28 . 2006-05-02 11:12 229,888 -ra------ C:\WINDOWS\system32\drivers\ADIHdAud.sys
2008-07-07 21:28 . 2006-04-27 00:42 93,824 -ra------ C:\WINDOWS\system32\drivers\aeaudio.sys
2008-07-07 20:06 . 2008-07-07 20:06 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-07-07 19:50 . 2008-07-07 19:50 <DIR> d--hs---- C:\FOUND.043
2008-07-07 19:40 . 2008-07-07 19:40 <DIR> d-------- C:\Programme\NVIDIA Corporation
2008-07-07 19:40 . 2008-07-07 19:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\NVIDIA Shared
2008-07-07 19:40 . 2005-09-28 11:08 176,128 --a------ C:\WINDOWS\system32\nvumpu.exe
2008-07-07 19:40 . 2005-09-28 11:08 176,128 --a------ C:\WINDOWS\system32\nvuaudio.exe
2008-07-07 18:01 . 2008-07-09 13:25 1,905 --a------ C:\WINDOWS\diagwrn.xml
2008-07-07 18:01 . 2008-07-09 13:25 1,905 --a------ C:\WINDOWS\diagerr.xml
2008-07-07 18:00 . 2008-07-07 18:00 <DIR> d-------- C:\Programme\DAEMON Tools Toolbar
2008-07-07 17:57 . 2008-07-07 17:57 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-07-07 17:56 . 2008-07-07 17:56 <DIR> d-------- C:\Dokumente und Einstellungen\sasha\Anwendungsdaten\DAEMON Tools
2008-07-06 22:23 . 2008-07-06 22:23 <DIR> d--hs---- C:\FOUND.042
2008-07-05 19:37 . 2008-07-05 19:37 <DIR> d--hs---- C:\FOUND.041
2008-07-05 19:28 . 2008-07-05 19:28 <DIR> d-------- C:\Programme\BitTorrent++
2008-07-02 00:25 . 2008-07-02 00:25 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 17:50 --------- d-----w C:\Programme\Microsoft Silverlight
2008-04-28 16:32 44,239 ----a-w C:\sound32.dll
2008-01-05 07:33 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-11-06 14:44 190,992 ----a-w C:\Dokumente und Einstellungen\sasha\Anwendungsdaten\install_de[1].exe
2007-10-03 12:42 857,165 ----a-w C:\Programme\TinyPicSetup.exe
2006-12-18 14:52 56 --sh--r C:\WINDOWS\system32\16C88311E8.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 12:27 405583]
"Steam"="C:\Programme\Steam\Steam.exe" [2006-03-10 16:15 1249280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="C:\Programme\F-Secure\Common\FSM32.EXE" [2003-07-23 06:00 118833]
"F-Secure TNB"="C:\Programme\F-Secure\TNB\TNBUtil.exe" [2003-05-09 11:30 647168]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 17:12 131072]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 04:07 843776]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xvid"= xvid.dll
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=

R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2003-08-19 11:58]
R2 BackWeb Client - 7681197;F-Secure Automatic Update;C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [2007-05-25 17:52]
R2 F-Secure Filter;F-Secure File System Filter;C:\Programme\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2003-04-30 13:13]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Programme\F-Secure\Anti-Virus\Win2K\FSgk.sys [2003-05-30 14:15]
R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Programme\F-Secure\Anti-Virus\Win2K\FSrec.sys [2002-04-23 14:23]
S3 BS_DEF;BS_DEF;C:\Programme\Asus\AsusUpdate\BS_DEF.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f6f8832-5ad4-11db-b751-001731f1494c}]
\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{51df2c19-4da9-11dd-b9df-001731f1494c}]
\Shell\AutoRun\command - H:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e7e59391-4d14-11dd-b9dc-001731f1494c}]
\Shell\AutoRun\command - H:\setup.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-07-05 14:46:26 C:\WINDOWS\Tasks\{AD1D3199-750D-4CCE-B34F-273938B60CBC}_SASHA_sasha.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
"2008-07-05 14:46:26 C:\WINDOWS\Tasks\{BA79ED88-67A4-4816-B84D-5B749A4EB4E8}_SASHA_sasha.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
"2008-07-05 14:46:26 C:\WINDOWS\Tasks\{D4B2063B-19AE-45F0-BE16-72AD67D09061}_SASHA_sasha.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
"2008-07-11 14:20:52 C:\WINDOWS\Tasks\{0BFCBB6F-3F40-4B71-8B2D-BF4B6EECF00A}_SASHA_sasha.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
"2008-07-11 14:20:52 C:\WINDOWS\Tasks\{A6932329-3B3E-4069-9295-6936C5CD9D11}_SASHA_sasha.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
"2008-07-11 14:20:52 C:\WINDOWS\Tasks\{D392CDA3-06BF-4783-B94A-D1AE30414304}_SASHA_sasha.job"
- C:\WINDOWS\system32\mobsync.exe@ /Schedule=
.
- - - - ORPHANS REMOVED - - - -

WebBrowser-{32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
HKCU-Run-Free Download Manager - C:\Programme\Free Download Manager\fdm.exe
HKCU-Run-DriverUpdaterPro - C:\Programme\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-13 19:36:58
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-13 19:38:22 - machine was rebooted [sasha]
ComboFix-quarantined-files.txt 2008-07-13 17:38:20

10 Verzeichnis(se), 42,322,755,584 Bytes frei
59 Verzeichnis(se), 43,027,759,104 Bytes frei

159


alles gemacht finde aber F-secure nicht mehr , soll ich das program wider instalieren ??
Seitenanfang Seitenende
13.07.2008, 20:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo pader

Info: antivirusfueralle - gefälschtes Programm
http://virus-protect.org/artikel/spyware/antivirusfueralle-remove.html

-----------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\sasha\Anwendungsdaten\install_de[1].exe
Folders to delete:
C:\Programme\AntivirusFuerAlle
C:\Programme\Gemeinsame Dateien\AntivirusFuerAlle
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"
nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 16:59
...neu hier

Beiträge: 5
#7 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\sasha\Anwendungsdaten\install_de[1].exe" deleted successfully.

Error: folder "C:\Programme\AntivirusFuerAlle" not found!
Deletion of folder "C:\Programme\AntivirusFuerAlle" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Programme\Gemeinsame Dateien\AntivirusFuerAlle" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

das kam raus.
Seitenanfang Seitenende
14.07.2008, 17:08
Moderator

Beiträge: 5694
#8 Hallo Pader

Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
http://www.virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss
Seitenanfang Seitenende
14.07.2008, 19:40
...neu hier

Beiträge: 5
#9 Malwarebytes' Anti-Malware 1.20
Datenbank Version: 948
Windows 5.1.2600 Service Pack 2

19:42:51 14.07.2008
mbam-log-7-14-2008 (19-42-51).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 110664
Scan Dauer: 20 minute(s), 14 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Programme\WinRAR\default.sfx (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB1C6414-6D3D-479A-851D-DD822C943428}\RP118\A0025887.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB1C6414-6D3D-479A-851D-DD822C943428}\RP145\A0058833.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB1C6414-6D3D-479A-851D-DD822C943428}\RP145\A0058834.dll (Rogue.AntiSpywareSuite) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB1C6414-6D3D-479A-851D-DD822C943428}\RP145\A0058835.exe (Rogue.WinSecureAv) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FB1C6414-6D3D-479A-851D-DD822C943428}\RP145\A0058836.exe (Rogue.Multiple) -> Quarantined and deleted successfully.


DAS IST ALLES SCHÖN , aber antivir kann ich nicht updaten
Seitenanfang Seitenende
14.07.2008, 19:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 welchen Antivirus ? F-Secure ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 21:11
...neu hier

Beiträge: 5
#11 ja.
updats findet er, aber will nicht runterladeh , schreibt " es wurden keine Deteien herundergeladet",
viellecht haben die probleme mit server.
Hab ehrlich gesagt keine Lust das Ding neu zu instalieren, benutze ihn schon seit Jahren, bis jetzt nie grosse Problemme gehabt.

Danke für Hilfe; Rechner arbeitet jetzt viel besser.
Seitenanfang Seitenende
14.07.2008, 21:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 du hast den scanner seit 2003....
es kann schon sein, dass das gefälschte Programm in der Registry Parameter umgestellt hat und nun ist dein f-secure mausetod.
Berichte mal in 2 oder 3 Tagen, ob das Problem weiterhin besteht.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: