Habe einen Virus und bekomme ihn nicht mehr weg !!!

Thema ist geschlossen!
Thema ist geschlossen!
#0
23.01.2007, 12:25
Member

Themenstarter

Beiträge: 107
#31 moment er arbeitet

Datentr„ger in Laufwerk C: ist Arbeitsplatte
Volumeseriennummer: FC41-F357

Verzeichnis von c:\WINDOWS\system32

04.09.2001 18:35 11.776 lsass.exe
1 Datei(en) 11.776 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

04.09.2001 18:35 11.776 lsass.exe
1 Datei(en) 11.776 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 23.552 Bytes
0 Verzeichnis(se), 130.542.952.448 Bytes frei
__________
Mit lieben Grüßen euer Mario
Seitenanfang Seitenende
23.01.2007, 12:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 ich verstehe nichts.... woher kommt dann diese exe vom 23.Januar ?
2007-01-23 11:42 11,776 --a--c--- C:\WINDOWS\system32\lsass.exe

sandbox.norman
http://sandbox.norman.no/live_4.html

lade hoch: falls du die lsass.exe vom 23.01. findest (Ladedatum)

C:\WINDOWS\system32\lsass.exe
+
C:\WINDOWS\KochRun.exe

--------------------------------------------------------------------
wenn du dann die mail bekommst mit der antwort, poste sie hier

+
poste die 6 logs von datfindbat !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.01.2007, 12:43
Member

Themenstarter

Beiträge: 107
#33 die datei habe ich aber seit gestern erst drauf..
das kam dabei raus unter suchen...

siehe bild.....

hier von datfind...

Datentr„ger in Laufwerk C: ist Arbeitsplatte
Volumeseriennummer: FC41-F357

Verzeichnis von C:\WINDOWS\system32

23.01.2007 11:54 63.804 nvapps.xml
23.01.2007 11:53 196.960 FNTCACHE.DAT
22.01.2007 15:27 2.184 wpa.dbl
19.01.2007 11:26 9.132 jupdate-1.5.0_10-b03.log
10.01.2007 13:59 59 SWCTL.DLL
08.01.2007 19:23 93 NULL
31.12.2006 13:26 2.116.992 TUKernel.exe
10.12.2006 17:43 39.992 perfc009.dat
10.12.2006 17:43 311.604 perfh009.dat
10.12.2006 17:43 316.594 perfh007.dat
10.12.2006 17:43 48.156 perfc007.dat
10.12.2006 17:43 723.744 PerfStringBackup.INI
25.11.2006 18:23 43.520 CmdLineExt03.dll
23.11.2006 16:45 24.072 uxtuneup.dll
15.11.2006 21:20 10.474.920 MRT.exe
09.11.2006 15:07 127.078 javaws.exe
09.11.2006 15:07 49.265 jpicpl32.cpl
09.11.2006 13:28 53.346 javaw.exe
09.11.2006 13:28 49.248 java.exe
17.10.2006 21:06 3.200 qtplugin.log
30.09.2006 16:41 16.832 amcompat.tlb
30.09.2006 16:41 23.392 nscompat.tlb
21.09.2006 20:55 552 d3d8caps.dat
15.09.2006 22:52 91.904 S32EVNT1.DLL
12.09.2006 20:37 0 h323log.txt
12.09.2006 20:25 25.065 wmpscheme.xml
12.09.2006 20:02 261 $winnt$.inf
12.09.2006 20:00 2.951 CONFIG.NT
12.09.2006 19:59 488 WindowsLogon.manifest
12.09.2006 19:59 488 logonui.exe.manifest
12.09.2006 19:59 749 cdplayer.exe.manifest
12.09.2006 19:59 749 nwc.cpl.manifest
12.09.2006 19:59 749 ncpa.cpl.manifest
12.09.2006 19:59 749 sapi.cpl.manifest
12.09.2006 19:59 749 wuaucpl.cpl.manifest
12.09.2006 19:58 21.740 emptyregdb.dat


Datentr„ger in Laufwerk C: ist Arbeitsplatte
Volumeseriennummer: FC41-F357

Verzeichnis von C:\DOKUME~1\MARIOJ~1\LOKALE~1\Temp

23.01.2007 11:59 2.884 jusched.log
21.01.2007 10:42 12.936 control.xml
20.01.2007 20:26 5.582 TWAIN.LOG
20.01.2007 20:25 3 Twain001.Mtx
20.01.2007 20:25 156 Twunk001.MTX
19.01.2007 14:56 315 SNDunin.log
19.01.2007 14:56 8.402.606 Norton Internet Security 1-19-2007 14h49m43s.log
19.01.2007 14:55 7.057 SYMEVENT.LOG
19.01.2007 14:55 30.804 symcprop.dat
19.01.2007 14:55 124 AVRES_OPTRF_LiveUpdate.dat
19.01.2007 14:53 6.967 LSInstall.log
19.01.2007 14:52 1.491 jupdate1.5.0.xml
19.01.2007 14:51 2.569 IDSinst.LOG
19.01.2007 14:49 348 PreScan.log
19.01.2007 14:46 4.617 caevents.log
19.01.2007 12:24 792 java_install_reg.log
19.01.2007 11:25 23.568 java_install.log
19.01.2007 11:24 1.156 jinstall.cfg
19.01.2007 11:24 95.742 tmp.xpi
18.01.2007 23:42 16.384 ~DF61F7.tmp
18.01.2007 23:42 16.384 ~DF549C.tmp
18.01.2007 23:31 0 Twunk002.MTX
18.01.2007 17:04 4.106.074 system.nfo
18.01.2007 16:59 119 url.txt
18.01.2007 15:04 298 MSI19971.LOG
18.01.2007 14:46 121.064 set43.tmp
16.01.2007 18:35 107.512 Set86.tmp
16.01.2007 18:34 107.512 Set82.tmp
16.01.2007 17:19 16.384 ~DF6BEF.tmp
16.01.2007 17:19 16.384 ~DF5CB6.tmp
09.11.2006 16:04 245.873 xpinstall.exe
18.09.2006 21:33 45.056 gtapi.dll
13.09.2006 11:13 1.077.760 GoogleInstall.dll
33 Datei(en) 14.476.521 Bytes
0 Verzeichnis(se), 130.441.433.088 Bytes frei

Datentr„ger in Laufwerk C: ist Arbeitsplatte
Volumeseriennummer: FC41-F357

Verzeichnis von C:\WINDOWS

23.01.2007 11:54 0 0.log
23.01.2007 11:54 50 wiaservc.log
23.01.2007 11:54 157 wiadebug.log
23.01.2007 11:53 2.048 bootstat.dat
23.01.2007 11:52 437.298 ntbtlog.txt
22.01.2007 18:48 32.428 SchedLgU.Txt
22.01.2007 18:48 109.518 WindowsUpdate.log
21.01.2007 21:20 116 NeroDigital.ini
18.01.2007 22:02 4.096 d3dx.dat
17.01.2007 21:43 87 DYAHTZEE.INI
17.01.2007 21:40 1.636 yahtzee.ini
16.01.2007 19:22 16.836 DeIsL1.isu
16.01.2007 14:48 0 setuperr.log
15.01.2007 12:09 1.612 win.ini
15.01.2007 12:09 227 system.ini
10.01.2007 14:13 1.152 mozver.dat
10.01.2007 14:02 0 nsreg.dat
08.01.2007 18:10 934 disney.ini
22.12.2006 13:11 1.740 wizards.ini
01.12.2006 20:44 606.848 flashax.exe
01.12.2006 20:44 12.288 impborl.dll
13.11.2006 17:28 118.784 bwUnin-7.2.0.157-8876480SL.exe
30.09.2006 16:40 316.640 WMSysPr9.prx
12.09.2006 21:06 81.920 bwUnin-6.1.4.68-8876480L.exe
12.09.2006 21:03 400 ODBC.INI
12.09.2006 20:50 20.454 hpoins01.dat
12.09.2006 20:22 0 Sti_Trace.log
12.09.2006 20:03 8.192 REGLOCS.OLD
12.09.2006 20:00 0 control.ini
12.09.2006 20:00 299.552 WMSysPrx.prx
12.09.2006 20:00 4.161 ODBCINST.INI
12.09.2006 19:59 749 WindowsShell.Manifest
12.09.2006 19:58 36 vb.ini
12.09.2006 19:58 37 vbaddin.ini


Datentr„ger in Laufwerk C: ist Arbeitsplatte
Volumeseriennummer: FC41-F357

Verzeichnis von C:\WINDOWS\temp


Datentr„ger in Laufwerk C: ist Arbeitsplatte
Volumeseriennummer: FC41-F357

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.01.2007 14:30 65 desktop.ini
11.12.2006 16:44 367 LegitCheckControl.inf
22.06.2006 10:41 5.032 swflash.inf
26.05.2005 04:19 293 muweb.inf
26.05.2005 04:19 291 wuweb.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
6 Datei(en) 7.210 Bytes
0 Verzeichnis(se), 130.441.166.848 Bytes frei

Datentr„ger in Laufwerk C: ist Arbeitsplatte
Volumeseriennummer: FC41-F357

Verzeichnis von C:\

23.01.2007 12:51 0 sys.txt
23.01.2007 12:51 570 down.txt
23.01.2007 12:51 117 tmp.txt
23.01.2007 12:50 4.214 system.txt
23.01.2007 12:50 1.934 systemtemp.txt
23.01.2007 12:49 99.924 system32.txt
23.01.2007 12:26 515 find.txt
23.01.2007 11:53 1.610.612.736 pagefile.sys
23.01.2007 11:51 13.365 ComboFix.txt
20.01.2007 20:17 520 hpfr3420.xml
20.01.2007 20:17 641 hpfr3420.log
15.01.2007 12:09 397 boot.ini
03.01.2007 22:11 9.728 Thumbs.db
01.01.2007 21:39 4 scrabble.acc
25.11.2006 14:10 140.771 AnalysisLog.sr0
12.09.2006 20:00 0 AUTOEXEC.BAT
12.09.2006 20:00 0 IO.SYS
12.09.2006 20:00 0 CONFIG.SYS
12.09.2006 20:00 0 MSDOS.SYS
04.09.2001 18:35 224.032 ntldr
04.09.2001 18:35 45.124 NTDETECT.COM
04.09.2001 18:34 4.952 bootfont.bin
22 Datei(en) 1.611.159.544 Bytes
0 Verzeichnis(se), 130.441.089.024 Bytes frei

das kam gerade als mail herein

Your message ID (for later reference): 20070123-2095

Hello,

Thanks for taking the time to submit your samples to the Norman
Sandbox Information Center. Customer delight is our top priority at
Norman. With that in mind we have developed Sandbox Solutions for
organizations that are committed to speedy analysis and debugging.

Norman Sandbox Solutions give your organization the opportunity to
analyze files immediately in your own environment.

To find out how to bring the power of Norman Sandbox into your test
environments follow the links below.

Norman Sandbox Solutions
http://www.norman.com/Product/Sandbox-products/

Norman Sandbox Analyzer
http://www.norman.com/Product/Sandbox-products/Analyzer/

Norman Sandbox Analyzer Pro
http://www.norman.com/Product/Sandbox-products/Analyzer-pro/

Norman SandBox Reporter
http://www.norman.com/Product/Sandbox-products/Reporter/

lsass.exe : Not detected by Sandbox (Signature: NO_VIRUS)

[ General information ]
* File length: 11776 bytes.
* MD5 hash: 06df1b4d51bea83cf16fd45ab8c8cce8.

(C) 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.

This file is not flagged as malicious by the Norman Sandbox Information Center. However, we can not guarantee that the file is harmless. If you still suspect the file to be malicious and if you urgently need to know for sure, please submit it to your local Norman support department for manual analysis.

Sent by Mario-Jaeger-1976@web.de. Received 23.Jan 2007 at 12.37 - processed 23.Jan 2007 at 12.40.

Anhang: lsass.JPG

__________
Mit lieben Grüßen euer Mario
Dieser Beitrag wurde am 23.01.2007 um 12:52 Uhr von Mario Jäger editiert.
Seitenanfang Seitenende
23.01.2007, 13:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 die lsass.exe ist hier nicht sichtbar ....komisch, dass dein Virenscanner geblockt und Combofix hat die lsass.exe ebenfalls angezeigt hat
die exe hat die gleiche Groesse, wie die regulaere Datei, kann allerdings modifiziert worden sein ;)
nun, da sie nicht mehr vorhanden ist............. hast du sie geloescht, nachdem du combofix gepostet hattest ???

Zitat

Verzeichnis von C:\WINDOWS\system32

23.01.2007 11:54 63.804 nvapps.xml
23.01.2007 11:53 196.960 FNTCACHE.DAT
22.01.2007 15:27 2.184 wpa.dbl
19.01.2007 11:26 9.132 jupdate-1.5.0_10-b03.log
blockt dein Virenscanner noch oder herrscht Ruhe ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.01.2007, 13:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35

Zitat

du hast gefragt wo die lsass.exe vom 23.01.07 herkommt...

das kann ich dir genau sagen ich habe gestern überbrückungsweise auf einer leeren platte xp notfalls installiert damit ich auf die daten zugreifen kann..
und bei der installation war die lsass auch dabei aber im alten problemlaufwerk weg und ist auch nicht mehr hochgefahren,

dann habe ich die lsass exe kopiert unv von c auf d kopiert was jetzt ja wieder c ist damit der PC auf seinem alten laufwerk hochfährt!!!

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.01.2007, 14:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 womit dein Rechner eigentlich sauber sein muesste ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.01.2007, 14:11
Member

Themenstarter

Beiträge: 107
#37

Zitat

blockt dein Virenscanner noch oder herrscht Ruhe ?
schau dir mal das bild an...

angriffswarnung OK

Anhang: norton_2.JPG

__________
Mit lieben Grüßen euer Mario
Seitenanfang Seitenende
23.01.2007, 15:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 trojan.peacomm
http://securityresponse.symantec.com/region/de/techsupp/avcenter/venc/data/de-trojan.peacomm.html

findest du eine wincom32.sys ? - und hast du eine email (verseucht, mit Anhang) in der mail-box ? )

Read More.exe
Full Clip.exe
Full Story.exe
Full Video.exe
Video.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.01.2007, 15:30
Member

Themenstarter

Beiträge: 107
#39

Zitat

findest du eine wincom32.sys ? - und hast du eine email (verseucht, mit Anhang) in der mail-box ? )

alles negativ

ich mache nur @-mails auf die ich auch wirklich kenne ansonsten werden sie gnadenlos gelöscht

Hallo Sabina,

Habe nochmal mit einem anderen Virus-Scan den PC gecheckt...

schau dir das mal an...


//-----------------------------------------------------------------
//
// Product: BitDefender 8 Free Edition
// Version: 8.0
//
// Erstelt am: 25/01/2007 13:36:55
//
//-----------------------------------------------------------------
__________
Mit lieben Grüßen euer Mario
Dieser Beitrag wurde am 25.01.2007 um 14:25 Uhr von Mario Jäger editiert.
Seitenanfang Seitenende
11.03.2007, 22:50
Member

Themenstarter

Beiträge: 107
#40 Hallo...
komme mal wieder mal nicht klar...

Habe bei der reinigung von Tune Up eine datei entdeckt die knapp 800 MB groß ist und sich hiberfill.sys nennt!

Ist die datei schlimm oder wird sie irgendwie benötigt!

Als unteranhang steht dabei ruhezustand

Danke für die hilfe im vorraus
__________
Mit lieben Grüßen euer Mario
Seitenanfang Seitenende
11.03.2007, 22:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.03.2007, 19:21
Member

Themenstarter

Beiträge: 107
#42 Hallo Sabina,
ich würde ja die datei selbst auswählen, der Tune up sagt mir ja wo die datei ist, aber wenn ich nachschaue unter LW F: dann sehe ich die datei nicht selbst wenn ich auf alle dateien in Ordneroption anzeigen gehe!

Die datei wurde an dem tag erstellt als ich den rechner formatiert und neu installiert habe...

Schau mal anhang habe ein foto gemacht ;)

Soll ich die datei einfach löschen???


__________
Mit lieben Grüßen euer Mario
Dieser Beitrag wurde am 14.03.2007 um 19:25 Uhr von Mario Jäger editiert.
Seitenanfang Seitenende
15.03.2007, 10:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 natuerlich nicht loeschen:

hyberfil.sys. Das ist die Datei, in der Windows XP seinen Arbeitsspeicher abbildet, sobald es in den Ruhezustand (Stand-by) geschickt wird.
http://www.tippscout.de/windows-xp-mehr-platz-auf-festplatte-ohne-ruhezustand_tipp_1667.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende