Bekomme keine Seiten im Browser angezeigt

#16 ich wuerde erst mal alles loeschen:
C:\Program Files\Serv-U

dann, wenn alles sauber ist - neu laden

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Guten Morgen Sabina,

hier kommt der ScanLog:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 4. Februar 2007 01:44:03
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 3/02/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 249778
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
N:\
Z:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 81994
Viren gefunden: 3
Infizierte Objekte gefunden: 17 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 03:54:29

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\avenger\backup-03.02.2007- 8.40.36,59.zip/avenger/wmiprvser.exe Infizierte Objekte: Backdoor.Win32.Rbot.gen übersprungen
C:\avenger\backup-03.02.2007- 8.40.36,59.zip ZIP: infiziert - 1 übersprungen
C:\avenger\backup-03.02.2007-21.14.17,70.zip/avenger/wmiprvser.exe Infizierte Objekte: Backdoor.Win32.Rbot.gen übersprungen
C:\avenger\backup-03.02.2007-21.14.17,70.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xa8x4lx1.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xa8x4lx1.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xa8x4lx1.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xa8x4lx1.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xa8x4lx1.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xa8x4lx1.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xa8x4lx1.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xa8x4lx1.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xa8x4lx1.default\parent.lock Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\69ycli6l.default\Mail\popmail.t-online.de\Junk/[From "Leonor Jacobs" <ulcer'sescalators@abma.nl>][Date Thu, 1 Feb 2007 19:33:47 -0060]/text/[From "Volksbanken Raiffeisenbanken" <dienst-num666023976621vr@volksbank.de>][Date Thu, 01 Feb 2007 21:05:11 -0500]/UNNAMED/html Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.od übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\69ycli6l.default\Mail\popmail.t-online.de\Junk/[From "Leonor Jacobs" <ulcer'sescalators@abma.nl>][Date Thu, 1 Feb 2007 19:33:47 -0060]/text/[From "Volksbanken Raiffeisenbanken" <dienst-num666023976621vr@volksbank.de>][Date Thu, 01 Feb 2007 21:05:11 -0500]/UNNAMED/[From "Parnel Haile" <desta@walterpmoore.com>][Date Fri, 2 Feb 2007 16:07:11 +0100]/text/[From "Volksbanken Raiffeisenbanken" <reference-1543517112158vr@volksbank.de>][Date Sat, 03 Feb 2007 04:09:15 +0000]/html Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.od übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\69ycli6l.default\Mail\popmail.t-online.de\Junk/[From "Leonor Jacobs" <ulcer'sescalators@abma.nl>][Date Thu, 1 Feb 2007 19:33:47 -0060]/text/[From "Volksbanken Raiffeisenbanken" <dienst-num666023976621vr@volksbank.de>][Date Thu, 01 Feb 2007 21:05:11 -0500]/UNNAMED/[From "Parnel Haile" <desta@walterpmoore.com>][Date Fri, 2 Feb 2007 16:07:11 +0100]/text Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.od übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\69ycli6l.default\Mail\popmail.t-online.de\Junk/[From "Leonor Jacobs" <ulcer'sescalators@abma.nl>][Date Thu, 1 Feb 2007 19:33:47 -0060]/text/[From "Volksbanken Raiffeisenbanken" <dienst-num666023976621vr@volksbank.de>][Date Thu, 01 Feb 2007 21:05:11 -0500]/UNNAMED Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.od übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\69ycli6l.default\Mail\popmail.t-online.de\Junk/[From "Leonor Jacobs" <ulcer'sescalators@abma.nl>][Date Thu, 1 Feb 2007 19:33:47 -0060]/text Infizierte Objekte: Trojan-Spy.HTML.Bankfraud.od übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\69ycli6l.default\Mail\popmail.t-online.de\Junk Mail Berkeley mbox: infiziert - 5 übersprungen
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Perflib_Perfdata_ef4.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007020320070204\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\wmiprvser.exe Infizierte Objekte: Backdoor.Win32.Rbot.gen übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\Config\interchk.chk Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\A0067854.exe.000 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\ClonedDVD v.3.9.1.0-Keygen.exe.000 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\keygen.exe.000 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\s.exe.000 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\Slysoft.exe.000 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\Slysoft.exe.1.000 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\tmg-wz10.exe.000 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\winamp.5.xx. generic.2 -patch.exe.000 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\INFECTED\winrar.3.x-universal.patch.exe.000 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Sophos Anti-Virus\logs\SAV.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{F673B92D-D895-4C52-8D7E-826E78A023D5}\RP91\A0073412.exe Infizierte Objekte: Backdoor.Win32.Rbot.gen übersprungen
C:\System Volume Information\_restore{F673B92D-D895-4C52-8D7E-826E78A023D5}\RP91\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\._nfs\DRIVED.NDX Das Objekt ist gesperrt übersprungen
D:\._nfs\DRIVED.NOD Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{F673B92D-D895-4C52-8D7E-826E78A023D5}\RP91\change.log Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\._nfs\DRIVEF.NDX Das Objekt ist gesperrt übersprungen
F:\._nfs\DRIVEF.NOD Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\_restore{F673B92D-D895-4C52-8D7E-826E78A023D5}\RP91\change.log Das Objekt ist gesperrt übersprungen
G:\._nfs\DRIVEG.NDX Das Objekt ist gesperrt übersprungen
G:\._nfs\DRIVEG.NOD Das Objekt ist gesperrt übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
G:\System Volume Information\_restore{F673B92D-D895-4C52-8D7E-826E78A023D5}\RP91\change.log Das Objekt ist gesperrt übersprungen
H:\Azureus\THECOMPLEXLIVEDVD.ISO.bc! Das Objekt ist gesperrt übersprungen
H:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
I:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
K:\._nfs\DRIVEK.NDX Das Objekt ist gesperrt übersprungen
K:\._nfs\DRIVEK.NOD Das Objekt ist gesperrt übersprungen
K:\Sicherungen\Thunderbird 1.5.0.7 (de) - 18.09.2006.pcv/Mail/pop3.web.de/Sent/[From Roggi01 <Roggi01@web.de>][Date Tue, 29 Aug 2006 14:05:17 +0200]/Telekom/[From "Telekom" <info@t-com.net>][Date Tue, 29 Aug 2006 14:36:25 +0300]/Rechnung.pdf.zip/Rechnung.pdf.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.aoa übersprungen
K:\Sicherungen\Thunderbird 1.5.0.7 (de) - 18.09.2006.pcv/Mail/pop3.web.de/Sent/[From Roggi01 <Roggi01@web.de>][Date Tue, 29 Aug 2006 14:05:17 +0200]/Telekom/[From "Telekom" <info@t-com.net>][Date Tue, 29 Aug 2006 14:36:25 +0300]/Rechnung.pdf.zip Infizierte Objekte: Trojan-Downloader.Win32.Agent.aoa übersprungen
K:\Sicherungen\Thunderbird 1.5.0.7 (de) - 18.09.2006.pcv/Mail/pop3.web.de/Sent/[From Roggi01 <Roggi01@web.de>][Date Tue, 29 Aug 2006 14:05:17 +0200]/Telekom Infizierte Objekte: Trojan-Downloader.Win32.Agent.aoa übersprungen
K:\Sicherungen\Thunderbird 1.5.0.7 (de) - 18.09.2006.pcv/Mail/pop3.web.de/Sent Infizierte Objekte: Trojan-Downloader.Win32.Agent.aoa übersprungen
K:\Sicherungen\Thunderbird 1.5.0.7 (de) - 18.09.2006.pcv ZIP: infiziert - 4 übersprungen
K:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
K:\System Volume Information\_restore{F673B92D-D895-4C52-8D7E-826E78A023D5}\RP91\change.log Das Objekt ist gesperrt übersprungen
Z:\Azureus\Die wilden Kerle 1-3\VIDEO_TS\VIDEO_TS.VOB.bc! Das Objekt ist gesperrt übersprungen
Z:\Azureus\Die wilden Kerle 1-3\VIDEO_TS\VTS_01_1.VOB.bc! Das Objekt ist gesperrt übersprungen
Z:\Azureus\Die wilden Kerle 1-3\VIDEO_TS\VTS_01_2.VOB.bc! Das Objekt ist gesperrt übersprungen
Z:\Azureus\Die wilden Kerle 1-3\VIDEO_TS\VTS_02_1.VOB.bc! Das Objekt ist gesperrt übersprungen
Z:\Azureus\Die wilden Kerle 1-3\VIDEO_TS\VTS_02_2.VOB.bc! Das Objekt ist gesperrt übersprungen
Z:\Azureus\Die wilden Kerle 1-3\VIDEO_TS\VTS_03_1.VOB.bc! Das Objekt ist gesperrt übersprungen
Z:\Azureus\Die wilden Kerle 1-3\VIDEO_TS\VTS_03_2.VOB.bc! Das Objekt ist gesperrt übersprungen
Z:\Azureus\VIDEO_TS\VTS_02_2.VOB.bc! Das Objekt ist gesperrt übersprungen
Z:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
Z:\System Volume Information\_restore{1A45FB03-7A8C-494B-88D8-5A41F63219BD}\RP96\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.




Gruß

Roggi

#18 1.
loesche alles backups vom avenger + leere den Papierkorb

C:\avenger\backup-03.02.2007- 8.40.36,59.zip
C:\avenger\backup-03.02.2007-21.14.17,70.zip

2.
loesche, wie ich weiter oben erklaert habe, die verseuchten Mails

3.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

4.
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/fprot.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hallo erst einmal,

Scan ist am laufen....wurde auf zwei veraltete Dateien hingewiesen, ist das ok????

Gruß

Roggi

#20 ich muss dann den report sehen, um dir antworten zu koennen
__________
MfG Sabina

rund um die PC-Sicherheit

#21 ╔══════════════════════════════════════════════════════════════════════════════╗
║Scanning E: ║
║E:\EINFIL~1\DERERS~1.AVI Not scanned (in use by another application) ║
║E:\SQUASH\DNEMAR~1.AVI Not scanned (in use by another application) ║
║Scanning F: ║
║Scanning G: ║
║Scanning ╔═════════════════════════════════════════════════════════╗ ║
║H:\AZUREU║ ║ ║
║Scanning ║ Results of virus scanning: ║ ║
║Scanning ║ ║ ║
║Scanning ║ Files: 9199 ║ ║
║Error on ║ MBRs: 0 ║ ║
║ ║ Boot sectors: 0 ║ ║
║Results o║ Objects scanned: 48331 ║ ║
║ ║ ║ ║
║Files: 91║ Time: 21:51 ║ ║
║MBRs: 0 ║ ║ ║
║Boot sect║ No viruses or suspicious files/boot sectors were found. ║ ║
║Objects s╚═════════════════════════════════════════════════════════╝ ║
║ ║
║Time: 21:51 ║
║ ║
║No viruses or suspicious files/boot sectors were found. ║
║ ║
╚═══════════════════════════════════════════════════════════════════ESC-Cancel═╝

Hier kommt das File....

╔══════════════════════════════════════════════════════════════════════════════╗
║Virus scanning report - 4 February 2007 @ 14:46 ║
║ ║
║F-PROT ANTIVIRUS ║
║Program version: 3.16f ║
║Engine version: 3.16.13 ║
║ ║
║VIRUS SIGNATURE FILES ║
║SIGN.DEF created 13 June 2006 ║
║SIGN2.DEF created 13 June 2006 ║
║MACRO.DEF created 15 June 2006 ║
║ ║
║Search: Local hard disks ║
║Action: Report only ║
║Files: "Dumb" scan of all files ║
║Switches: /ARCHIVE /PACKED ║
║No viruses found in memory. ║
║Hard disk boot sectors were not scanned. ║
║ ║
║Scanning C: ║
║C:\DOKUME~1\ADMINI~1\NTUSER.DAT Not scanned (in use by another application) ║
║C:\DOKUME~1\ADMINI~1\NTUSER~1.LOG Not scanned (in use by another application)║
║Scanning D: ║
║D:\SQUASH\SQUASH1.AVI Not scanned (in use by another application) ║
╚══════════════════════════════════════════════════P-Print S-Save ESC-Cancel═╝

Gruß

Roggi

#22 lade nr.3 - McAfee -
http://virus-protect.org/multiavtool.html

suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier

---

wenn du dann schon mal dabei bist, lade auch kaspersky (4) und scanne
--

ich denke, dass wir dann die reinigung beeenden koennen - der Rechner scheint wieder clean.
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Hallo Sabina,

der erste Scan sah ja schon gut aus. Im Zweiten (als Anhang, da zu lang) ist das Vieh immer noch da, oder??? Ich habe auch die einzelnen Konten des Thunderbird nach Anleitung bearbeitet.

Ich musst den VNC wieder installieren, da ich sonst über die Woche nichts machen kann. Ich wohne in S-H und studiere in Mannheim. Hoffe, das geht in Ordnung.....

02/05/2007 00:28:13


Options:
"C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /ALL /CLEAN /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\*.*
C:\WINDOWS\system32\cmdow.exe ... Found potentially unwanted program Tool-HideWindow.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 133645
Clean: ................. 133599
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 1
Non-critical Error(s): 3
Master Boot Record(s): ......... 3
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 00:31.41




02/05/2007 00:28:13


Options:
"C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /ALL /CLEAN /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\*.*
C:\WINDOWS\system32\cmdow.exe ... Found potentially unwanted program Tool-HideWindow.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 133645
Clean: ................. 133599
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 1
Non-critical Error(s): 3
Master Boot Record(s): ......... 3
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 00:31.41




02/05/2007 00:28:13


Options:
"C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /ALL /CLEAN /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\*.*
C:\WINDOWS\system32\cmdow.exe ... Found potentially unwanted program Tool-HideWindow.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 133645
Clean: ................. 133599
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 1
Non-critical Error(s): 3
Master Boot Record(s): ......... 3
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 00:31.41




02/05/2007 00:28:13


Options:
"C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /ALL /CLEAN /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\*.*
C:\WINDOWS\system32\cmdow.exe ... Found potentially unwanted program Tool-HideWindow.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 133645
Clean: ................. 133599
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 1
Non-critical Error(s): 3
Master Boot Record(s): ......... 3
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 00:31.41

c:\DOKUME~1\ADMINI~1\WMIPRV~1.EXE infected: Backdoor.Win32.Rbot.gen
c:\DOKUME~1\ADMINI~1\WMIPRV~1.EXE deleted: Backdoor.Win32.Rbot.gen





Roggi

#24 Roggi01

der Backdoor ist/war noch in C:\Dokumente und Einstellungen - wir schauen mal nach

Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\wmiprvser*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint

----------------------------------------------------------------

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Dokumente und Einstellungen\Administrator" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#25 Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp

05.02.2007 12:47 <DIR> .
05.02.2007 12:47 <DIR> ..
04.02.2007 13:06 59.964 Adobelm_Cleanup.0001
02.02.2007 21:27 45.059 Blue Man Group - The Complex Rock Tour Live.torrent
02.02.2007 21:26 14.522 Bob der Baumeister -Sport macht Spa DVD-Rip Xvid TA.torrent
04.02.2007 13:58 <DIR> Bruce Willis Special DVD Collection
03.02.2007 18:58 164.348 Bruce Willis Special DVD Collection-1.torrent
03.02.2007 18:59 164.348 Bruce Willis Special DVD Collection-2.torrent
03.02.2007 18:57 164.348 Bruce Willis Special DVD Collection.torrent
05.02.2007 12:38 7.618 cc3data_init.xml
02.02.2007 21:29 11.245 CHIP 2007-01.torrent
02.02.2007 21:29 281.053 Feivel 1-4 DVDRiP German Special DVD snoopy.torrent
28.09.2001 17:00 164.864 GLB1A2B.EXE
05.02.2007 00:16 0 is79B6.tmp
05.02.2007 00:16 0 is79BA.tmp
05.02.2007 12:42 1.018 jusched.log
03.02.2007 21:50 <DIR> KAV Updater update files
05.02.2007 12:37 7.484 LVCOMSX.LOG
02.02.2007 21:30 89.310 Michael Flatley-Feet of Flames ML 1999 Untouched PAL DVDR.torrent
04.02.2007 09:24 <DIR> Online Scanner mail files
05.02.2007 12:40 16.384 Perflib_Perfdata_15b8.dat
02.02.2007 21:28 31.343 The TimeMachine Untouched German ML PAL DVD-R.torrent
04.02.2007 14:34 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}23296.html
04.02.2007 14:35 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}22061.html
02.02.2007 21:33 19.870 Wallace & Gromit - Unter Schafen Die Techno-Hose Alles Kse DVD ISO.torrent
28.01.2007 12:06 692.914 _iu14D2N.tmp
05.02.2007 12:42 16.384 ~DF1AD7.tmp
24.01.2007 09:30 16.384 ~DF3289.tmp
02.02.2007 21:23 16.384 ~DF39B6.tmp
03.02.2007 19:04 16.384 ~DF5F26.tmp
03.02.2007 19:17 16.384 ~DF6B23.tmp
03.02.2007 19:05 16.384 ~DF6CCA.tmp
03.02.2007 18:03 16.384 ~DF735F.tmp
03.02.2007 19:17 16.384 ~DF94A1.tmp
24.01.2007 13:29 16.384 ~DF9650.tmp
24.01.2007 15:19 16.384 ~DFAD8B.tmp
27.01.2007 09:11 16.384 ~DFB350.tmp
28.01.2007 12:42 16.384 ~DFB86D.tmp
28.01.2007 12:42 16.384 ~DFC4D4.tmp
03.02.2007 22:07 16.384 ~DFE4F1.tmp
28.01.2007 10:32 16.384 ~DFE9DF.tmp
03.02.2007 18:57 16.384 ~DFF2CC.tmp
04.02.2007 12:08 16.384 ~DFF32C.tmp
01.02.2007 08:04 16.384 ~DFF47D.tmp
03.02.2007 22:07 16.384 ~DFFD51.tmp
40 Datei(en) 2.248.949 Bytes
5 Verzeichnis(se), 3.540.426.752 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C87-D21E

Verzeichnis von C:\WINDOWS\Temp

05.02.2007 12:53 <DIR> .
05.02.2007 12:53 <DIR> ..
09.01.2007 05:01 5.012 ASPNETSetup_00000.log
09.01.2007 05:03 5.012 ASPNETSetup_00001.log
05.02.2007 10:25 106.496 AVP05213.TMP
05.02.2007 10:25 0 AVP05214.TMP
19.04.2006 16:02 973 CamServr.log
19.04.2006 16:02 53.496 CamWizrd.log
19.04.2006 15:59 359 Instmed.log
19.04.2006 15:59 444 InstVid.log
05.02.2007 00:02 0 is7997.tmp
05.02.2007 00:03 0 is799F.tmp
05.02.2007 12:52 0 is7AB4.tmp
05.02.2007 12:53 0 is7ABC.tmp
09.01.2007 05:02 4.236.752 MSI324c8.LOG
09.01.2007 05:03 4.587.988 MSI504c3.LOG
15.01.2007 17:57 591.390 MSIf07b3.LOG
09.01.2007 05:02 <DIR> NDP20-KB917283-X86
09.01.2007 05:00 <DIR> NDP20-KB922770-X86
05.02.2007 12:52 690 NTRconnect.log
05.02.2007 12:53 58.184 NTRconnect_msi.log
05.02.2007 12:02 1.410.514 Sophos Anti-Virus CustomActions Log.txt
05.02.2007 12:02 4.122 Sophos Anti-Virus install log.txt
05.02.2007 12:02 <DIR> sophos_autoupdate1.dir
19 Datei(en) 11.061.432 Bytes
5 Verzeichnis(se), 3.540.426.752 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C87-D21E

Verzeichnis von C:\Temp

05.02.2007 12:52 <DIR> .
05.02.2007 12:52 <DIR> ..
05.02.2007 12:52 5.104.642 NTRconnect.msi
05.02.2007 12:52 86.018 srvInstaller.exe
2 Datei(en) 5.190.660 Bytes
2 Verzeichnis(se), 3.540.426.752 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C87-D21E

Verzeichnis von C:\Dokumente und Einstellungen\Administrator

05.02.2007 11:37 <DIR> .
05.02.2007 11:37 <DIR> ..
31.12.2006 08:41 <DIR> Application Data
29.12.2006 08:38 <DIR> Citrix
05.02.2007 00:17 55.428 Connect_Log.log
05.02.2007 13:00 <DIR> Desktop
04.02.2007 01:49 <DIR> Eigene Dateien
19.04.2006 14:33 <DIR> Favoriten
19.04.2006 15:10 <DIR> Startmen
25.01.2007 17:01 0 TFTP2100
30.01.2007 02:48 0 TFTP2440
22.01.2007 22:26 0 TFTP2848
25.01.2007 18:22 0 TFTP2912
29.01.2007 14:01 0 TFTP3664
30.01.2007 13:28 115.200 TFTP492
7 Datei(en) 170.628 Bytes
8 Verzeichnis(se), 3.540.426.752 Bytes frei


Gruß

Roggi

#26 da sind sie: anonyme FTP-Server - wie Zecken - so hat der Hacker Zugriff auf deinen Rechner...........

Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Administrator\TFTP2100
C:\Dokumente und Einstellungen\Administrator\TFTP2440
C:\Dokumente und Einstellungen\Administrator\TFTP2848
C:\Dokumente und Einstellungen\Administrator\TFTP2912
C:\Dokumente und Einstellungen\Administrator\TFTP3664
C:\Dokumente und Einstellungen\Administrator\TFTP492

»»
C:\Temp
05.02.2007 12:52 <DIR> .
05.02.2007 12:52 <DIR> ..
05.02.2007 12:52 5.104.642 NTRconnect.msi
05.02.2007 12:52 86.018 srvInstaller.exe

was ist das ? was hast du zu diesem Zeitpunkt installiert ???
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Hi,

Avenger ist erledigt. Habe aber kein Log. Er meldet, das er die *.txt nicht gefunden hat. Das DOSFenster nach dem Reeboot öffnet sich aber.......

Den NTR muste ich noch einmal installierne, da meine Frau den VNC nicht hinbekam...die srvInstaller ist mir nicht bewusst.......ich habe nur ntr installiert.....

Gruß

Roggi

#28 ueberpruefe ob

C:\Dokumente und Einstellungen\Administrator
25.01.2007 17:01 0 TFTP2100
30.01.2007 02:48 0 TFTP2440
22.01.2007 22:26 0 TFTP2848
25.01.2007 18:22 0 TFTP2912
29.01.2007 14:01 0 TFTP3664
30.01.2007 13:28 115.200 TFTP492

geloescht sind................

««
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\Temp\srvInstaller.exe

poste den report

-----------------------------------------------------------------------

dann hoffe ich, dass du in Zukunft von keygen.exe/ClonedDVD v.3.9.1.0-Keygen.exe ...usw. geheilt bist....
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Hallo Sabina,

entschuldige bitte, dass ich mich so spät melde. Ich stecke zur Zeit in Klausurvorbereitungen.

Habe jetzt geprüft. Leider sind die Dateien noch vorhanden.

Your file "srvInstaller.exe" is queued in position: 7. Estimated start time is between 116 and 166 seconds.

In der Woche war noch etwas merkwürdiges zu beobachten. Habe einen Screenshotbeigefügt.

Ja, ich denke schon, keine Exe mehr. KeyGen ist meist verseucht....

In Sopheus habe ich zwei Dateien in der Quarantäne:

bzws.exe = Troj/Agent-EBJ
timerstop.sys = ActicCrk-A

Gruß

Roggi

PS: Ich glaube Du meintest diesen Report:

Service is stopped in this moments. Scanning of your sample has not been finalized and results has been lost. If you wish to scan it, please send it again.

Antivirus Version Update Result
AntiVir 7.3.1.36 02.09.2007 no virus found
Authentium 4.93.8 02.09.2007 no virus found
Avast 4.7.936.0 02.09.2007 no virus found
AVG 386 02.09.2007 no virus found
BitDefender 7.2 02.10.2007 no virus found
CAT-QuickHeal 9.00 02.09.2007 no virus found
ClamAV devel-20060426 02.09.2007 no virus found
DrWeb 4.33 02.09.2007 no virus found
eSafe 7.0.14.0 02.09.2007 no virus found
eTrust-Vet 30.4.3384 02.10.2007 no virus found
Ewido 4.0 02.09.2007 no virus found
Fortinet 2.85.0.0 02.10.2007 no virus found
F-Prot 4.2.1.29 02.09.2007 no virus found
F-Secure 6.70.13030.0 02.10.2007 no virus found
Ikarus T3.1.0.31 02.10.2007 no virus found
Kaspersky 4.0.2.24 02.10.2007 no virus found
McAfee 4960 02.09.2007 no virus found
Microsoft 1.2204 02.10.2007 no virus found
NOD32v2 2049 02.10.2007 no virus found
Norman 5.80.02 02.09.2007 no virus found
Panda 9.0.0.4 02.09.2007 no virus found

Aditional Information
File size: 86018 bytes
MD5: fa23fb55d36b76286f8ef970c6619e32
SHA1: 3179a467dd526daa277d6c439f2065a9afdc2246

#30 »»
hast du versucht den Aktivierungscode fuer Windows Vista zu ..... usw. usw. ??
Antwort eventuell per PM.....

««
das sind anonyme FTP-Server, ueber die sich jemand bei dir im System einloggt und damit vollen Zugriff aufs System hat.

C:\Dokumente und Einstellungen\Administrator

Zitat

25.01.2007 17:01 0 TFTP2100
30.01.2007 02:48 0 TFTP2440
22.01.2007 22:26 0 TFTP2848
25.01.2007 18:22 0 TFTP2912
29.01.2007 14:01 0 TFTP3664
30.01.2007 13:28 115.200 TFTP492

du musst alle loeschen, egal, wo, wie !!!

Zitat

domain or IP address
83.226.184.184
route: 83.226.0.0/15
descr: Broadband Customers in Scandinavia
descr: Please report improper use to abuse@bredband.com
origin: AS8642
notify: noc@bredband.com
mnt-by: B2-MNT
changed: hostmaster@bredband.com 20040312
source: RIPE

184.184.226.83.in-addr.arpa IN PTR c-b8b8e253.010-100-73766c10.cust.bredbandsbolaget.se 20s (00:00:20)

»»
scanne mit norman und a-squared und poste die reporte
http://virus-protect.org/artikel/tools/sdfix.html

1 : es wird a-squared geladen
2 : wird Norman geladen
__________
MfG Sabina

rund um die PC-Sicherheit