6 Trojaner, Dropper "DR/Cydoor.A.1", heuristischer Treffer "HEUR/CryptedThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
26.01.2007, 19:16
Member
Beiträge: 17 |
||
|
||
27.01.2007, 00:31
Ehrenmitglied
Beiträge: 29434 |
#2
Nomja
poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 16:39
Member
Themenstarter Beiträge: 17 |
#3
"Mirjam" - 07-01-28 16:28:47 Service Pack 2
ComboFix 07-01-25 - Running from: "C:\Dokumente und Einstellungen\Mirjam\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\vbuzip10.dll ((((((((((((((((((((((((((((((( Files Created from 2006-12-28 to 2007-01-28 )))))))))))))))))))))))))))))))))) 2007-01-25 20:38 34,304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys 2007-01-25 20:38 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys 2007-01-25 20:37 <DIR> d-------- C:\Programme\AntiVir PersonalEdition Classic 2007-01-25 20:37 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\AntiVir PersonalEdition Classic 2007-01-24 18:59 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll 2007-01-24 18:59 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll 2007-01-24 18:58 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll 2007-01-24 18:58 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll 2007-01-24 18:58 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll 2007-01-24 18:58 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll 2007-01-24 18:58 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll 2007-01-24 18:58 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll 2007-01-24 18:56 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2007-01-19 19:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sandlot Shared 2007-01-19 19:23 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Sandlot Games (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-01-28 16:26 -------- d-------- C:\Programme\mozilla firefox 2007-01-26 13:44 -------- d-------- C:\Programme\adverts 2007-01-26 13:09 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\this meow 2007-01-25 23:28 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\peakidol 2007-01-25 23:13 -------- d-------- C:\Programme\icqlite 2007-01-25 10:41 -------- d-------- C:\Programme\sav 2007-01-24 20:50 -------- d-------- C:\Programme\zylom games 2007-01-22 00:15 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\skype 2007-01-21 21:19 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\zylom 2007-01-21 21:19 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\identities 2007-01-19 18:08 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\playfirst 2007-01-17 14:48 -------- d-------- C:\DOKUME~1\Mirjam\Anwendungsdaten\macromedia (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "hold data"="C:\\DOKUME~1\\Mirjam\\ANWEND~1\\THISME~1\\option loud.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "AWatch"="C:\\Programme\\FRITZ!DSL\\Awatch.exe" "vptray"="C:\\PROGRA~1\\SAV\\vptray.exe" "Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe" "MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\"" @="" "Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions" "C-Media Mixer"="Mixer.exe /startup" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] "ITUNES"="itune.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ICQLite" "hkey"="HKLM" "command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ITUNES] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="itune" "hkey"="HKLM" "command"="itune.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\A4D329999184A645.job Completion time: 07-01-28 16:36:03 |
|
|
||
28.01.2007, 16:52
Ehrenmitglied
Beiträge: 29434 |
#4
Nomja
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 16:59
Member
Themenstarter Beiträge: 17 |
#5
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6009-ADEE Verzeichnis von C:\WINDOWS\Downloaded Program Files 16.03.2004 01:55 503.808 qp2.dll 20.02.2004 12:42 160 qp2.inf 09.11.2006 14:36 5.019 swflash.inf 3 Datei(en) 508.987 Bytes 0 Verzeichnis(se), 5.033.672.704 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Programme Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Program Files 19.07.2006 16:58 <DIR> . 19.07.2006 16:58 <DIR> .. 02.10.2005 16:41 <DIR> Altnet 16.02.2006 20:25 <DIR> BFG 19.07.2006 16:58 <DIR> C-Media 22.05.2006 19:35 <DIR> ICQLite 0 Datei(en) 0 Bytes 6 Verzeichnis(se), 5.033.668.608 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Dokumente und Einstellungen\Mirjam\Lokale Einstellungen\Temporary Internet Files\Content.IE5 28.01.2007 16:42 65.536 index.dat 1 Datei(en) 65.536 Bytes 0 Verzeichnis(se), 5.033.668.608 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Dokumente und Einstellungen\Mirjam\Lokale Einstellungen\Temp 28.01.2007 16:58 <DIR> . 28.01.2007 16:58 <DIR> .. 28.01.2007 16:57 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31310.html 28.01.2007 16:43 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}6389.html 28.01.2007 16:57 16.384 ~DF8253.tmp 28.01.2007 16:57 512 ~DF8266.tmp 28.01.2007 16:57 16.384 ~DF827B.tmp 28.01.2007 16:57 512 ~DF828E.tmp 28.01.2007 16:57 16.384 ~DF82A3.tmp 28.01.2007 16:57 512 ~DF82B6.tmp 28.01.2007 16:57 16.384 ~DF82CB.tmp 28.01.2007 16:57 512 ~DF82DE.tmp 28.01.2007 16:43 16.384 ~DF907.tmp 28.01.2007 16:43 16.384 ~DFF63B.tmp 28.01.2007 16:43 512 ~DFF64E.tmp 13 Datei(en) 102.825 Bytes 2 Verzeichnis(se), 5.033.668.608 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\WINDOWS\Temp 28.01.2007 16:36 <DIR> . 28.01.2007 16:36 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 5.033.668.608 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Temp 10.01.2006 16:14 <DIR> . 10.01.2006 16:14 <DIR> .. 10.01.2006 16:20 23.360.376 AdbeRdr705_deu_full.exe 10.01.2006 16:14 7.241.896 psa30se_de_de.exe 10.01.2006 16:12 762.512 ytb612_efgsip.exe 3 Datei(en) 31.364.784 Bytes 2 Verzeichnis(se), 5.033.668.608 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Programme 25.01.2007 23:26 <DIR> . 25.01.2007 23:26 <DIR> .. 11.02.2006 10:20 <DIR> Adobe 26.01.2007 13:44 <DIR> Adverts 26.01.2007 12:11 <DIR> AntiVir PersonalEdition Classic 05.03.2006 13:49 <DIR> C2Media 01.03.2005 18:48 <DIR> ComPlus Applications 03.01.2006 12:45 <DIR> FRITZ!DSL 06.10.2006 15:57 <DIR> Gamenext 19.01.2007 19:23 <DIR> Gemeinsame Dateien 25.01.2007 23:13 <DIR> ICQLite 14.08.2005 20:12 <DIR> ICQToolbar 18.07.2006 11:47 <DIR> Internet Explorer 17.07.2006 18:51 <DIR> Java 04.10.2006 23:08 <DIR> LimeWire 07.10.2005 12:06 <DIR> Lionhead Studios Ltd 27.07.2005 21:53 <DIR> Maxis 05.03.2005 19:11 <DIR> Messenger 05.03.2006 13:48 <DIR> MessengerPlus! 3 21.12.2005 18:24 <DIR> microsoft frontpage 21.12.2005 18:24 <DIR> Microsoft Office 27.12.2005 15:43 <DIR> Microsoft Picture It! 01.03.2005 18:51 <DIR> Movie Maker 28.01.2007 16:37 <DIR> Mozilla Firefox 05.03.2005 18:37 <DIR> MSN 01.03.2005 18:47 <DIR> MSN Gaming Zone 21.01.2006 12:34 <DIR> MSN Messenger 27.09.2005 17:23 <DIR> Need2Find 19.08.2005 21:21 <DIR> neo Software Produktions GmbH 01.03.2005 18:51 <DIR> NetMeeting 01.03.2005 18:47 <DIR> Online Services 01.03.2005 18:53 <DIR> Online-Dienste 01.03.2005 18:51 <DIR> Outlook Express 02.07.2006 12:41 <DIR> PartyGaming 02.07.2006 12:43 <DIR> PartyGaming.Net 19.07.2006 16:59 <DIR> PCI Audio Applications 27.12.2005 15:46 <DIR> Ravensburger Interactive 05.10.2006 11:44 <DIR> rondomedia 03.10.2005 11:24 <DIR> RXToolBar 25.01.2007 10:41 <DIR> SAV 27.08.2005 20:00 <DIR> Sierra On-Line 20.10.2006 17:41 <DIR> Skype 18.07.2006 12:19 <DIR> Sony Ericsson 01.03.2005 19:41 <DIR> Symantec 20.05.2006 09:40 <DIR> This Meow 19.07.2006 17:01 <DIR> Windows Media Player 01.03.2005 18:46 <DIR> Windows NT 06.10.2006 13:17 <DIR> WinRAR 01.03.2005 19:00 <DIR> xerox 02.07.2006 13:40 <DIR> Yahoo! 24.01.2007 20:50 <DIR> Zylom Games 0 Datei(en) 0 Bytes 51 Verzeichnis(se), 5.033.664.512 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Dokumente und Einstellungen\Mirjam\Lokale Einstellungen\Anwendungsdaten 17.07.2005 23:33 <DIR> Adobe 18.07.2006 12:15 <DIR> ApplicationHistory 12.08.2006 18:59 11.776 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 18.07.2006 11:39 139 fusioncache.dat 01.03.2005 19:17 12.328 GDIPFONTCACHEV1.DAT 10.04.2006 22:39 <DIR> Google 02.07.2006 12:49 <DIR> Help 05.03.2005 23:36 <DIR> Identities 02.07.2006 13:10 <DIR> Microsoft 11.07.2006 12:16 <DIR> Mozilla 30.01.2006 18:20 <DIR> Phenomedia 01.03.2005 19:55 <DIR> Symantec 3 Datei(en) 24.243 Bytes 9 Verzeichnis(se), 5.033.664.512 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Dokumente und Einstellungen\Mirjam\Anwendungsdaten 17.07.2006 22:07 <DIR> Adobe 10.01.2006 16:25 2.108 AdobeDLM.log 17.07.2005 23:34 <DIR> AdobeUM 10.01.2006 16:25 0 dm.ini 01.08.2006 23:10 <DIR> EA 10.04.2006 22:39 <DIR> Google 14.04.2005 22:59 <DIR> Help 01.03.2005 20:37 <DIR> ICQLite 21.01.2007 21:19 <DIR> Identities 11.02.2006 10:19 <DIR> Leadertech 17.01.2007 14:48 <DIR> Macromedia 29.07.2006 00:57 <DIR> Magic Match 21.12.2005 18:24 <DIR> Microsoft Web Folders 01.03.2005 20:12 <DIR> Mozilla 05.03.2005 18:37 <DIR> MSNInstaller 25.01.2007 23:28 <DIR> peakidol 19.01.2007 18:08 <DIR> PlayFirst 22.01.2007 00:15 <DIR> Skype 13.10.2005 20:54 <DIR> Sun 18.07.2006 12:24 <DIR> Teleca 26.01.2007 13:09 <DIR> This Meow 21.01.2007 21:19 <DIR> Zylom 2 Datei(en) 2.108 Bytes 20 Verzeichnis(se), 5.033.664.512 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 26.01.2007 12:08 305 addr_file.html 10.01.2006 16:35 <DIR> Adobe 26.01.2007 20:39 <DIR> AntiVir PersonalEdition Classic 01.08.2006 23:10 <DIR> EA 20.05.2006 09:40 <DIR> FORD WINDOW PROC NOUN 08.10.2005 14:57 <DIR> Messenger Plus! 30.01.2006 18:24 <DIR> Phenomedia 19.01.2007 18:08 <DIR> PlayFirst 19.01.2007 19:23 <DIR> Sandlot Games 20.10.2006 17:42 <DIR> Skype 18.07.2006 12:21 <DIR> Sony Ericsson 01.03.2005 19:40 <DIR> Symantec 18.07.2006 12:21 <DIR> Teleca 12.02.2006 13:41 <DIR> Zylom 1 Datei(en) 305 Bytes 13 Verzeichnis(se), 5.033.660.416 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Programme\Gemeinsame Dateien 19.01.2007 19:23 <DIR> . 19.01.2007 19:23 <DIR> .. 10.01.2006 16:49 <DIR> Adobe 01.03.2005 19:23 <DIR> AVM 21.12.2005 18:31 <DIR> Designer 01.03.2005 18:51 <DIR> Dienste 19.07.2006 17:24 <DIR> InstallShield 18.02.2006 22:33 <DIR> Java 27.12.2005 15:42 <DIR> Microsoft Shared 01.03.2005 18:51 <DIR> MSSoap 01.03.2005 18:35 <DIR> ODBC 19.01.2007 19:23 <DIR> Sandlot Shared 01.03.2005 18:35 <DIR> SpeechEngines 03.01.2006 23:10 <DIR> SWF Studio 01.03.2005 19:41 <DIR> Symantec Shared 21.12.2005 18:29 <DIR> System 18.07.2006 12:21 <DIR> Teleca Shared 0 Datei(en) 0 Bytes 17 Verzeichnis(se), 5.033.660.416 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6009-ADEE Verzeichnis von C:\Windows\tasks |
|
|
||
28.01.2007, 18:09
Ehrenmitglied
Beiträge: 29434 |
#6
Nomja
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete:Klicke die grüne Ampel - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten ------- öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O1 - Hosts: die von Microsoft TCP/IPPC neustarten »» scanne mit Counterspy ud lasse den ganzen muell der auf deinem Rechner ist mit remove loschen http://virus-protect.org/counterspy.html ________ um an den backdoor zu kommen: http://www.sophos.de/security/analyses/w32rbotzu.html SDFix.zip entpacken http://virus-protect.org/artikel/tools/sdfix.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 19:16
Member
Themenstarter Beiträge: 17 |
#7
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
diesen punkt gibt es nicht mehr dafür steht da jetzt O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) |
|
|
||
28.01.2007, 20:13
Ehrenmitglied
Beiträge: 29434 |
#8
nur fixen, was ich geschrieben habe ! wenn es nicht mehr vorhanden ist...nun, dann kannst du es auch nicht fixen - logisch
arbeite alles weitere ab, denn auf dem rechner ist ungebetener besuch..ein backdoor __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 20:35
Member
Themenstarter Beiträge: 17 |
#9
ja ok mach ich dann. was ist denn ein backdoor?
|
|
|
||
28.01.2007, 20:37
Ehrenmitglied
Beiträge: 29434 |
#10
««
backdoor http://www.sophos.de/security/analyses/w32rbotzu.html «« http://virus-protect.org/backdoor.html * Entwenden oder Ändern von Kennwörtern oder Kennwortdateien * Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren) * Installieren von Software zur Aufzeichnung von Tastatureingaben * Konfigurieren von Firewall-Regeln * Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw. * Löschen und Bearbeiten von Dateien * Versenden von anstößigem oder diskriminierendem Material von einem E-Mail-Benutzerkonto * Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien * Löschen von Protokolldateien, um solche Aktivitäten zu verbergen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 21:37
Member
Themenstarter Beiträge: 17 |
#11
aha gut zu wissen.
ich hab ein problem und zwar läuft counterspy nicht richtig bei mir. das hängt sich andauernd auf. un eben hab ich ne neue meldung von antivir bekommen: In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FORD WINDOW PROC NOUN\Ace Enc.exe' wurde ein Virus oder unerwünschtes Programm 'PCK/UPC' [PCK/UPC] gefunden. |
|
|
||
28.01.2007, 22:37
Ehrenmitglied
Beiträge: 29434 |
#12
Zitat In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FORD WINDOW PROC NOUN\Ace Enc.exe'vielleicht machst du dir die muehe und arbeitest das avengerscript ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 22:46
Member
Themenstarter Beiträge: 17 |
#13
wie komme ich an Sophos Anti-Virus? ich versteh das nich so ganz
counterspy läuft nach dem keine ahnung wievielsten versuch Dieser Beitrag wurde am 28.01.2007 um 23:34 Uhr von Nomja editiert.
|
|
|
||
28.01.2007, 23:43
Ehrenmitglied
Beiträge: 29434 |
#14
««
die seite von sophos ist nur informativ «« hast du das avengerscript abgearbeitet ? poste den report, der nach neustart erscheint. -------------------------------------------- «« dann: SDFix.zip entpacken http://virus-protect.org/artikel/tools/sdfix.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.01.2007, 23:47
Member
Themenstarter Beiträge: 17 |
#15
meinst du das mit hijack wo ich die sachen anklicken un fixen musste? als ich den pc neu gestartet hab kam aber nix mehr
|
|
|
||
Ich hab das Programm heut nochmal laufen lassen bzw es läuft immernoch und ich habe 5 weitere Trojaner:
- TR/Dldr.Swizzor.CO,
- TR/Dldr.Swizzor.A,
- TR/Dldr.Swizzor.DO.1,
- TR/Obfuscated.BL
- TR/Wimad.A.Gen
Kann gut sein das noch mehr auftauchen werden
Trojaner sind keine mehr aufgetaucht, allerdings noch ein Dropper: DR/Cydoor.A.1 und ein heuristischer Treffer: HEUR/Crypted
Wäre nett wenn mir einer hilft. Ich kenn mich nämlich nich wirklich mit sowas aus. Also bitte auch für nich bewandete verständlich schreiben.
Logfile of HijackThis v1.99.1
Scan saved at 19:13:42, on 26.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\PROGRA~1\SAV\vptray.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\SAV\DefWatch.exe
C:\PROGRA~1\SAV\Rtvscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\ams_ii\iao.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mirjam\Eigene Dateien\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O1 - Hosts: die von Microsoft TCP/IP
O1 - Hosts: 85.14.216.95 l2patcher.lineage2.com
O1 - Hosts: 89.163.145.153 l2authd.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7827FB03-1073-1DE2-D139-0075B40ED5BE} - C:\DOKUME~1\Mirjam\ANWEND~1\peakidol\AboutBows.exe (file missing)
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SAV\vptray.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\RunServices: [ITUNES] itune.exe
O4 - HKCU\..\Run: [hold data] C:\DOKUME~1\Mirjam\ANWEND~1\THISME~1\option loud.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Programme\Mozilla Firefox\plugins\GetFlash.exe -p
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://ku.bar.need2find.com/KU/menusearch.html?p=KU
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://s1.teamlearn.de/qp2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F2D9A9E-92DE-4C6A-A9B3-1CE2279FF98F}: NameServer = 217.237.150.51 217.237.151.142
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDACA2E9-CCEF-4C09-966B-804804778CBA}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\\NavLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SAV\DefWatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINDOWS\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: Symantec AntiVirus Server (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SAV\Rtvscan.exe