Infizierte shdocvw.dll von Kaspersky gelöscht, suche Rat |
||
---|---|---|
#0
| ||
17.02.2007, 16:14
Member
Beiträge: 16 |
||
|
||
17.02.2007, 23:28
Ehrenmitglied
Beiträge: 29434 |
#2
M.D. Geist
am besten wende dich damit direkt an Kaspersky (berichte dann, wenn moeglich) http://forum.kaspersky.com/index.php?showforum=27 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 10:54
Member
Themenstarter Beiträge: 16 |
#3
Danke für den Tip, aber so wie es aussieht bin ich nicht der Einzige mit Kaspersky, der dieses Problem hat.
http://forum.kaspersky.com/index.php?showtopic=32322 Jetzt heißt es wohl oder übel warten ! Weißt du sonst noch Rat??? Nachtrag: Hab' jetzt versucht Hijackthis und Datfinbat im abgesicherten Modus auf dem Laptop zu laden, mit Erfolg. Hier die Logs: Logfile of HijackThis v1.99.1 Scan saved at 11:54:40, on 18.02.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\hphmon05.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\HP\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe C:\WINDOWS\System32\msiexec.exe C:\Dokumente und Einstellungen\All Users\Dokumente\Hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe Hier die Logs von Datfindbat: Verzeichnis von c:\ 18.02.2007 11:54 0 dirdat.txt 18.02.2007 11:49 535.875.584 hiberfil.sys 18.02.2007 11:49 805.306.368 pagefile.sys 19.09.2006 16:35 627 hpfr3425.log Verzeichnis von C:\WINDOWS\system32 17.02.2007 15:35 1.339.904 SHDOCVW.dll 15.02.2007 19:46 1.158 wpa.dbl 23.11.2006 21:05 380.684 perfh009.dat 23.11.2006 21:05 53.098 perfc009.dat 23.11.2006 21:05 391.574 perfh007.dat 23.11.2006 21:05 63.976 perfc007.dat 23.11.2006 21:05 897.778 PerfStringBackup.INI 23.11.2006 19:51 1.392.671 msvbvm60.dll Verzeichnis von C:\WINDOWS 18.02.2007 11:51 28.961 hpoins03.dat 18.02.2007 11:50 0 0.log 18.02.2007 11:50 159 wiadebug.log 18.02.2007 11:50 50 wiaservc.log 18.02.2007 11:49 2.048 bootstat.dat 18.02.2007 11:49 144.842 ntbtlog.txt 18.02.2007 11:38 32.572 SchedLgU.Txt 17.02.2007 15:35 2.026.608 setupapi.log 17.02.2007 14:39 840 win.ini 17.11.2006 16:37 3.828 ModemLog_Agere Systems AC'97 Modem.txt Verzeichnis von C:\DOKUME~1\GERARD~1\LOKALE~1\Temp 18.02.2007 11:50 533 pcf1.tmp 18.02.2007 11:50 220 jusched.log 18.02.2007 11:49 931 _isdelet.ini 3 Datei(en) 1.684 Bytes 0 Verzeichnis(se), 46.139.772.928 Bytes frei Unter Windows/Temp und Down war nichts Hoffe das hilft weiter. DANKE! Dieser Beitrag wurde am 18.02.2007 um 12:26 Uhr von M.D. Geist editiert.
|
|
|
||
18.02.2007, 12:22
Ehrenmitglied
Beiträge: 29434 |
#4
das beste ist, erst mal eine Systemwiederherstellung zu machen (auf einen Tag vor dem Kaspersky)
Systemwiederherstellung Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen" Dort wählt man: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter Die fett angezeigten Daten im Kalender zeigen die gesetzten Wiederherstellungspunkte. »» dann poste hier das log vom HijacktHIS http://virus-protect.org/hjtkurz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 12:30
Member
Themenstarter Beiträge: 16 |
#5
Meinst du Kaspersky ist für alles verantwortlich??? Wie im ersten Beitrag schon geschrieben, wir hatten früher Norton auf dem Laptop und der hat sich nie über etwas beschwert. Schon komisch...
|
|
|
||
18.02.2007, 13:03
Ehrenmitglied
Beiträge: 29434 |
#6
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\SHDOCVW.dll poste hier den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 13:22
Member
Themenstarter Beiträge: 16 |
#7
Hier der Report:
STATUS: FINISHEDComplete scanning result of "SHDOCVW.dll", received in VirusTotal at 02.18.2007, 13:13:40 (CET). Antivirus Version Update Result AntiVir 7.3.1.37 02.17.2007 no virus found Authentium 4.93.8 02.16.2007 no virus found Avast 4.7.936.0 02.18.2007 no virus found AVG 386 02.17.2007 no virus found BitDefender 7.2 02.18.2007 no virus found CAT-QuickHeal 9.00 02.16.2007 no virus found ClamAV devel-20060426 02.18.2007 no virus found DrWeb 4.33 02.18.2007 no virus found eSafe 7.0.14.0 02.18.2007 no virus found eTrust-Vet 30.4.3410 02.18.2007 no virus found Ewido 4.0 02.18.2007 no virus found Fortinet 2.85.0.0 02.18.2007 W32/Agent.U!kit F-Prot 4.2.1.29 02.16.2007 no virus found F-Secure 6.70.13030.0 02.17.2007 no virus found Ikarus T3.1.0.31 02.18.2007 no virus found Kaspersky 4.0.2.24 02.18.2007 no virus found McAfee 4965 02.16.2007 no virus found Microsoft 1.2204 02.18.2007 no virus found NOD32v2 2068 02.18.2007 no virus found Norman 5.80.02 02.16.2007 no virus found Panda 9.0.0.4 02.17.2007 no virus found Prevx1 V2 02.18.2007 no virus found Sophos 4.14.0 02.18.2007 no virus found Sunbelt 2.2.907.0 02.17.2007 no virus found Symantec 10 02.18.2007 no virus found TheHacker 6.1.6.059 02.16.2007 no virus found UNA 1.83 02.16.2007 no virus found VBA32 3.11.2 02.17.2007 no virus found VirusBuster 4.3.19:9 02.17.2007 no virus found Aditional Information File size: 1339904 bytes MD5: 4f56cc02566391bd3e673318cb9509de SHA1: 7cbfe9d376874ecc5cc293abc2b18c753604707d |
|
|
||
18.02.2007, 13:30
Ehrenmitglied
Beiträge: 29434 |
#8
da kaspersky sich mit deinem System anscheinend nicht "vertraegt" - mache also die Systemwiederherstellung oder deinstalliere ihn.
dann berichte, ob wieder alles normal laeuft . dann denken wir ueber einen anderen Virenschutz nach __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 14:47
Member
Themenstarter Beiträge: 16 |
#9
Also im Grunde läuft der Laptop mit Kaspersky ja problemlos, wenn er nicht die ganannte Datei als "infiziert" bezeichnen würde. Was mich wundert Kaspersky hat beim Obigen Test nichts gefunden, nur Fortinet fand da diesen W32/Agent.U!kit. Vielleicht sollte ich erstmal ein Update von Kaspersky versuchen, dann evtl. noch die vorgeschlagene Systemwiederherstellung.
Ach was ich noch fragen wollte, lässt sich aus den geposteten Logs auch nichts erkennen??? |
|
|
||
18.02.2007, 14:54
Ehrenmitglied
Beiträge: 29434 |
#10
ausser dieser dll, die erst neu aufs System gekommen ist, habe ich nichts weiter gefunden.
Verzeichnis von C:\WINDOWS\system32 17.02.2007 15:35 1.339.904 SHDOCVW.dll du solltest dich mit dem Ergebnis von virustotal direkt ins Kaspersky-Forum wenden, mal sehen, was die dazu meinen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.02.2007, 15:12
Member
Themenstarter Beiträge: 16 |
#11
Ich hab' jetzt mal zu Testzwecken die gleiche Datei, aber die von meinem PC, auf http://www.virustotal.com/flash/index_en.html checken lassen und es wurde nichts gefunden, d.h. dass die Datei vom Laptop also doch infiziert ist mit W32/Agent.U!kit. Das blöde ist, dass die Datei sich nicht reparieren lässt, sondern nur löschen lässt, was aber problematisch ist, da sie wichtig für ein funktionierendes System ist. Könnte ich sie nicht einfach durch eine virusfreien Datei (also die von meinem PC) ersetzen???
Nachtrag: Wie es aussieht waren auch die Wiederherstellungspunkte infiziert und noch andere Dateien (u.a. shdocvw.bak), so dass ich sie löschen musste. Ich hab' anschließend die shdocvw.dll von meinem PC genommen und sie (auch wenn es umständlich war) auf dem Laptop kopiert und siehe da der Laptop funktioniert einwandfrei. Ich ließ Kaspersky auch schon 2x übers System laufen und siehe da er hat nichts mehr gefunden . Ich hoffe dies war meinem Dad eine Lehre und er achtet ein bisschen mehr darauf, welche Mails er öffnet . Nochmals Danke für die Hilfe! Einfach super, wie hier Einem geholfen wird !!! Dieser Beitrag wurde am 18.02.2007 um 18:19 Uhr von M.D. Geist editiert.
|
|
|
||
Der Laptop meines Vaters hat folgendes Problem: Da die Nortonlizenz abgelaufen ist, haben wir erstmal Norton Antivirus komplett deinstalliert und anschließend Kaspersky Internet Security 6.0 draufinstalliert, lief alles problemlos. Jetzt hat aber Kaspersky festgestellt ,dass die Datei shdocvw.dll irreparabel mit einem Trojaner namens Constructor.Win32.Agent.u infiziert ist und auch gleich gelöscht. Nach dem vom Programm gewünschten Neustart startet der Rechner zwar, jedoch ist die gesamte Taskleiste und der gesamte Desktop weg. Das Einzige was noch funktioniert ist der Task-Manager. Über ihn konnte ich Kaspersky aufrufen und die Datei wiederherstellen und tja alles funktioniert wieder, aber der Trojaner ist noch weiterhin drauf. Deswegen meine Frage: Kann man die Datei einfach löschen und sie durch die gleiche Datei von einem anderen Rechner ersetzen???
Bitte entschuldigt meine Frage (und auch die Länge meines Postings) aber bevor ich irgendwelchen Schaden anrichte, frag' ich doch lieber die Experten ;D.
DANKE schonmal im Voraus für die Hilfe.
Kleiner Nachtrag: So wie es aussieht lässt mich Kaspersky auf dem Laptop weder Dateien von Speichermedien kopieren noch ins Internet, sprich ich kann Hijackthis usw. auf dem Laptop nicht draufmachen und keine Logs posten . Auch nicht einmal wenn ich Kaspersky abstelle.