Habe einen Virus und bekomme ihn nicht mehr weg !!!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
23.01.2007, 12:25
Member
Themenstarter Beiträge: 107 |
||
|
||
23.01.2007, 12:31
Ehrenmitglied
Beiträge: 29434 |
#32
ich verstehe nichts.... woher kommt dann diese exe vom 23.Januar ?
2007-01-23 11:42 11,776 --a--c--- C:\WINDOWS\system32\lsass.exe sandbox.norman http://sandbox.norman.no/live_4.html lade hoch: falls du die lsass.exe vom 23.01. findest (Ladedatum) C:\WINDOWS\system32\lsass.exe + C:\WINDOWS\KochRun.exe -------------------------------------------------------------------- wenn du dann die mail bekommst mit der antwort, poste sie hier + poste die 6 logs von datfindbat ! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.01.2007, 12:43
Member
Themenstarter Beiträge: 107 |
#33
die datei habe ich aber seit gestern erst drauf..
das kam dabei raus unter suchen... siehe bild..... hier von datfind... Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS\system32 23.01.2007 11:54 63.804 nvapps.xml 23.01.2007 11:53 196.960 FNTCACHE.DAT 22.01.2007 15:27 2.184 wpa.dbl 19.01.2007 11:26 9.132 jupdate-1.5.0_10-b03.log 10.01.2007 13:59 59 SWCTL.DLL 08.01.2007 19:23 93 NULL 31.12.2006 13:26 2.116.992 TUKernel.exe 10.12.2006 17:43 39.992 perfc009.dat 10.12.2006 17:43 311.604 perfh009.dat 10.12.2006 17:43 316.594 perfh007.dat 10.12.2006 17:43 48.156 perfc007.dat 10.12.2006 17:43 723.744 PerfStringBackup.INI 25.11.2006 18:23 43.520 CmdLineExt03.dll 23.11.2006 16:45 24.072 uxtuneup.dll 15.11.2006 21:20 10.474.920 MRT.exe 09.11.2006 15:07 127.078 javaws.exe 09.11.2006 15:07 49.265 jpicpl32.cpl 09.11.2006 13:28 53.346 javaw.exe 09.11.2006 13:28 49.248 java.exe 17.10.2006 21:06 3.200 qtplugin.log 30.09.2006 16:41 16.832 amcompat.tlb 30.09.2006 16:41 23.392 nscompat.tlb 21.09.2006 20:55 552 d3d8caps.dat 15.09.2006 22:52 91.904 S32EVNT1.DLL 12.09.2006 20:37 0 h323log.txt 12.09.2006 20:25 25.065 wmpscheme.xml 12.09.2006 20:02 261 $winnt$.inf 12.09.2006 20:00 2.951 CONFIG.NT 12.09.2006 19:59 488 WindowsLogon.manifest 12.09.2006 19:59 488 logonui.exe.manifest 12.09.2006 19:59 749 cdplayer.exe.manifest 12.09.2006 19:59 749 nwc.cpl.manifest 12.09.2006 19:59 749 ncpa.cpl.manifest 12.09.2006 19:59 749 sapi.cpl.manifest 12.09.2006 19:59 749 wuaucpl.cpl.manifest 12.09.2006 19:58 21.740 emptyregdb.dat Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\DOKUME~1\MARIOJ~1\LOKALE~1\Temp 23.01.2007 11:59 2.884 jusched.log 21.01.2007 10:42 12.936 control.xml 20.01.2007 20:26 5.582 TWAIN.LOG 20.01.2007 20:25 3 Twain001.Mtx 20.01.2007 20:25 156 Twunk001.MTX 19.01.2007 14:56 315 SNDunin.log 19.01.2007 14:56 8.402.606 Norton Internet Security 1-19-2007 14h49m43s.log 19.01.2007 14:55 7.057 SYMEVENT.LOG 19.01.2007 14:55 30.804 symcprop.dat 19.01.2007 14:55 124 AVRES_OPTRF_LiveUpdate.dat 19.01.2007 14:53 6.967 LSInstall.log 19.01.2007 14:52 1.491 jupdate1.5.0.xml 19.01.2007 14:51 2.569 IDSinst.LOG 19.01.2007 14:49 348 PreScan.log 19.01.2007 14:46 4.617 caevents.log 19.01.2007 12:24 792 java_install_reg.log 19.01.2007 11:25 23.568 java_install.log 19.01.2007 11:24 1.156 jinstall.cfg 19.01.2007 11:24 95.742 tmp.xpi 18.01.2007 23:42 16.384 ~DF61F7.tmp 18.01.2007 23:42 16.384 ~DF549C.tmp 18.01.2007 23:31 0 Twunk002.MTX 18.01.2007 17:04 4.106.074 system.nfo 18.01.2007 16:59 119 url.txt 18.01.2007 15:04 298 MSI19971.LOG 18.01.2007 14:46 121.064 set43.tmp 16.01.2007 18:35 107.512 Set86.tmp 16.01.2007 18:34 107.512 Set82.tmp 16.01.2007 17:19 16.384 ~DF6BEF.tmp 16.01.2007 17:19 16.384 ~DF5CB6.tmp 09.11.2006 16:04 245.873 xpinstall.exe 18.09.2006 21:33 45.056 gtapi.dll 13.09.2006 11:13 1.077.760 GoogleInstall.dll 33 Datei(en) 14.476.521 Bytes 0 Verzeichnis(se), 130.441.433.088 Bytes frei Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS 23.01.2007 11:54 0 0.log 23.01.2007 11:54 50 wiaservc.log 23.01.2007 11:54 157 wiadebug.log 23.01.2007 11:53 2.048 bootstat.dat 23.01.2007 11:52 437.298 ntbtlog.txt 22.01.2007 18:48 32.428 SchedLgU.Txt 22.01.2007 18:48 109.518 WindowsUpdate.log 21.01.2007 21:20 116 NeroDigital.ini 18.01.2007 22:02 4.096 d3dx.dat 17.01.2007 21:43 87 DYAHTZEE.INI 17.01.2007 21:40 1.636 yahtzee.ini 16.01.2007 19:22 16.836 DeIsL1.isu 16.01.2007 14:48 0 setuperr.log 15.01.2007 12:09 1.612 win.ini 15.01.2007 12:09 227 system.ini 10.01.2007 14:13 1.152 mozver.dat 10.01.2007 14:02 0 nsreg.dat 08.01.2007 18:10 934 disney.ini 22.12.2006 13:11 1.740 wizards.ini 01.12.2006 20:44 606.848 flashax.exe 01.12.2006 20:44 12.288 impborl.dll 13.11.2006 17:28 118.784 bwUnin-7.2.0.157-8876480SL.exe 30.09.2006 16:40 316.640 WMSysPr9.prx 12.09.2006 21:06 81.920 bwUnin-6.1.4.68-8876480L.exe 12.09.2006 21:03 400 ODBC.INI 12.09.2006 20:50 20.454 hpoins01.dat 12.09.2006 20:22 0 Sti_Trace.log 12.09.2006 20:03 8.192 REGLOCS.OLD 12.09.2006 20:00 0 control.ini 12.09.2006 20:00 299.552 WMSysPrx.prx 12.09.2006 20:00 4.161 ODBCINST.INI 12.09.2006 19:59 749 WindowsShell.Manifest 12.09.2006 19:58 36 vb.ini 12.09.2006 19:58 37 vbaddin.ini Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS\temp Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS\Downloaded Program Files 06.01.2007 14:30 65 desktop.ini 11.12.2006 16:44 367 LegitCheckControl.inf 22.06.2006 10:41 5.032 swflash.inf 26.05.2005 04:19 293 muweb.inf 26.05.2005 04:19 291 wuweb.inf 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 6 Datei(en) 7.210 Bytes 0 Verzeichnis(se), 130.441.166.848 Bytes frei Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\ 23.01.2007 12:51 0 sys.txt 23.01.2007 12:51 570 down.txt 23.01.2007 12:51 117 tmp.txt 23.01.2007 12:50 4.214 system.txt 23.01.2007 12:50 1.934 systemtemp.txt 23.01.2007 12:49 99.924 system32.txt 23.01.2007 12:26 515 find.txt 23.01.2007 11:53 1.610.612.736 pagefile.sys 23.01.2007 11:51 13.365 ComboFix.txt 20.01.2007 20:17 520 hpfr3420.xml 20.01.2007 20:17 641 hpfr3420.log 15.01.2007 12:09 397 boot.ini 03.01.2007 22:11 9.728 Thumbs.db 01.01.2007 21:39 4 scrabble.acc 25.11.2006 14:10 140.771 AnalysisLog.sr0 12.09.2006 20:00 0 AUTOEXEC.BAT 12.09.2006 20:00 0 IO.SYS 12.09.2006 20:00 0 CONFIG.SYS 12.09.2006 20:00 0 MSDOS.SYS 04.09.2001 18:35 224.032 ntldr 04.09.2001 18:35 45.124 NTDETECT.COM 04.09.2001 18:34 4.952 bootfont.bin 22 Datei(en) 1.611.159.544 Bytes 0 Verzeichnis(se), 130.441.089.024 Bytes frei das kam gerade als mail herein Your message ID (for later reference): 20070123-2095 Hello, Thanks for taking the time to submit your samples to the Norman Sandbox Information Center. Customer delight is our top priority at Norman. With that in mind we have developed Sandbox Solutions for organizations that are committed to speedy analysis and debugging. Norman Sandbox Solutions give your organization the opportunity to analyze files immediately in your own environment. To find out how to bring the power of Norman Sandbox into your test environments follow the links below. Norman Sandbox Solutions http://www.norman.com/Product/Sandbox-products/ Norman Sandbox Analyzer http://www.norman.com/Product/Sandbox-products/Analyzer/ Norman Sandbox Analyzer Pro http://www.norman.com/Product/Sandbox-products/Analyzer-pro/ Norman SandBox Reporter http://www.norman.com/Product/Sandbox-products/Reporter/ lsass.exe : Not detected by Sandbox (Signature: NO_VIRUS) [ General information ] * File length: 11776 bytes. * MD5 hash: 06df1b4d51bea83cf16fd45ab8c8cce8. (C) 2004-2006 Norman ASA. All Rights Reserved. The material presented is distributed by Norman ASA as an information source only. This file is not flagged as malicious by the Norman Sandbox Information Center. However, we can not guarantee that the file is harmless. If you still suspect the file to be malicious and if you urgently need to know for sure, please submit it to your local Norman support department for manual analysis. Sent by Mario-Jaeger-1976@web.de. Received 23.Jan 2007 at 12.37 - processed 23.Jan 2007 at 12.40. Anhang: lsass.JPG __________ Mit lieben Grüßen euer Mario Dieser Beitrag wurde am 23.01.2007 um 12:52 Uhr von Mario Jäger editiert.
|
|
|
||
23.01.2007, 13:52
Ehrenmitglied
Beiträge: 29434 |
#34
die lsass.exe ist hier nicht sichtbar ....komisch, dass dein Virenscanner geblockt und Combofix hat die lsass.exe ebenfalls angezeigt hat
die exe hat die gleiche Groesse, wie die regulaere Datei, kann allerdings modifiziert worden sein nun, da sie nicht mehr vorhanden ist............. hast du sie geloescht, nachdem du combofix gepostet hattest ??? Zitat Verzeichnis von C:\WINDOWS\system32blockt dein Virenscanner noch oder herrscht Ruhe ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.01.2007, 13:59
Ehrenmitglied
Beiträge: 29434 |
#35
Zitat du hast gefragt wo die lsass.exe vom 23.01.07 herkommt... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.01.2007, 14:00
Ehrenmitglied
Beiträge: 29434 |
#36
womit dein Rechner eigentlich sauber sein muesste
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.01.2007, 14:11
Member
Themenstarter Beiträge: 107 |
#37
Zitat blockt dein Virenscanner noch oder herrscht Ruhe ?schau dir mal das bild an... angriffswarnung OK Anhang: norton_2.JPG __________ Mit lieben Grüßen euer Mario |
|
|
||
23.01.2007, 15:22
Ehrenmitglied
Beiträge: 29434 |
#38
trojan.peacomm
http://securityresponse.symantec.com/region/de/techsupp/avcenter/venc/data/de-trojan.peacomm.html findest du eine wincom32.sys ? - und hast du eine email (verseucht, mit Anhang) in der mail-box ? ) Read More.exe Full Clip.exe Full Story.exe Full Video.exe Video.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.01.2007, 15:30
Member
Themenstarter Beiträge: 107 |
#39
Zitat findest du eine wincom32.sys ? - und hast du eine email (verseucht, mit Anhang) in der mail-box ? )alles negativ ich mache nur @-mails auf die ich auch wirklich kenne ansonsten werden sie gnadenlos gelöscht Hallo Sabina, Habe nochmal mit einem anderen Virus-Scan den PC gecheckt... schau dir das mal an... //----------------------------------------------------------------- // // Product: BitDefender 8 Free Edition // Version: 8.0 // // Erstelt am: 25/01/2007 13:36:55 // //----------------------------------------------------------------- __________ Mit lieben Grüßen euer Mario Dieser Beitrag wurde am 25.01.2007 um 14:25 Uhr von Mario Jäger editiert.
|
|
|
||
11.03.2007, 22:50
Member
Themenstarter Beiträge: 107 |
#40
Hallo...
komme mal wieder mal nicht klar... Habe bei der reinigung von Tune Up eine datei entdeckt die knapp 800 MB groß ist und sich hiberfill.sys nennt! Ist die datei schlimm oder wird sie irgendwie benötigt! Als unteranhang steht dabei ruhezustand Danke für die hilfe im vorraus __________ Mit lieben Grüßen euer Mario |
|
|
||
11.03.2007, 22:53
Ehrenmitglied
Beiträge: 29434 |
#41
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.03.2007, 19:21
Member
Themenstarter Beiträge: 107 |
#42
Hallo Sabina,
ich würde ja die datei selbst auswählen, der Tune up sagt mir ja wo die datei ist, aber wenn ich nachschaue unter LW F: dann sehe ich die datei nicht selbst wenn ich auf alle dateien in Ordneroption anzeigen gehe! Die datei wurde an dem tag erstellt als ich den rechner formatiert und neu installiert habe... Schau mal anhang habe ein foto gemacht Soll ich die datei einfach löschen??? Anhang: hiberfil2.JPG __________ Mit lieben Grüßen euer Mario Dieser Beitrag wurde am 14.03.2007 um 19:25 Uhr von Mario Jäger editiert.
|
|
|
||
15.03.2007, 10:04
Ehrenmitglied
Beiträge: 29434 |
#43
natuerlich nicht loeschen:
hyberfil.sys. Das ist die Datei, in der Windows XP seinen Arbeitsspeicher abbildet, sobald es in den Ruhezustand (Stand-by) geschickt wird. http://www.tippscout.de/windows-xp-mehr-platz-auf-festplatte-ohne-ruhezustand_tipp_1667.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Datentr„ger in Laufwerk C: ist Arbeitsplatte
Volumeseriennummer: FC41-F357
Verzeichnis von c:\WINDOWS\system32
04.09.2001 18:35 11.776 lsass.exe
1 Datei(en) 11.776 Bytes
Verzeichnis von c:\WINDOWS\system32\dllcache
04.09.2001 18:35 11.776 lsass.exe
1 Datei(en) 11.776 Bytes
Anzahl der angezeigten Dateien:
2 Datei(en) 23.552 Bytes
0 Verzeichnis(se), 130.542.952.448 Bytes frei
__________
Mit lieben Grüßen euer Mario