Home » Viren, Trojaner & Malware Forum » Heuristicher treffer ganzer pc spinnt nun!! » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Heuristicher treffer ganzer pc spinnt nun!!

Thema ist geschlossen!

18.03.2007, 16:02

x_corsa

Member

Beiträge: 40

#1 Hallo zusammen !
habe einen heuristichen treffer laut antivir habe in in der quarantäne gelöcht kommt immer wieder. nun habe ich antivir nach der hier verfügbaren anleitung eingestellt nun spinnt alles! wollte systemwiederherstellung abstellen und dan in den abgesicherten modus nun kommt beim rechtsklick auf arbeitsplatz vollgende meldung c:\windows\system32\rundll32.exe anwendung nicht gefunden was kann ich jetzt tun ? clenup habe ich laufen lassen hat aber nichts gebracht.Kann auch antivier nicht mehr öffnen

18.03.2007, 18:14

Sabina

Ehrenmitglied

Beiträge: 29434

#2 versuche das abzuarbeiten ud die logs zu posten
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

19.03.2007, 07:30

x_corsa

Member

Themenstarter

Beiträge: 40

#3 Danke für die antwort Sabina!

Leider kann ich das nicht abarbeiten da durch die fehlermeldunng (wie oben beschrieben ) sich nun kein programm mer öffnen lässt
was aber erst auftrat nachdem ich die einstellungen im antivir geändert habe
So das win 32 problem habe ich im griff nun kann ich wieder programme öfnen
jetzt der log von hijack
Logfile of HijackThis v1.99.1
Scan saved at 09:06:04, on 19.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
noch der log von combo dazu
sven - 07-03-19 9:21:34,48 Service Pack 2
ComboFix 06.10.19 - Running from: "H:\Hijackbek„mpfung"

((((((((((((((((((((((((((((((( Files Created from 2007-02-19 to 2007-03-19 ))))))))))))))))))))))))))))))))))

2007-03-19 08:06 30,208 --a------ C:\WINDOWS\system32\msvcrt.exe
2007-03-18 17:04 <DIR> d-------- C:\WINDOWS\McAfee.com
2007-03-17 11:17 21,035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2007-03-07 09:21 45,056 --------- C:\WINDOWS\system32\mstrans.dll
2007-03-06 11:49 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-03-17 11:17 -------- d--h----- C:\Programme\InstallShield Installation Information
2007-03-17 11:17 -------- d-------- C:\Programme\NETGEAR
2007-03-16 11:05 -------- d-------- C:\Programme\CleanUp!
2007-03-14 16:58 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2007-03-06 11:49 -------- d-------- C:\Programme\Grisoft
2007-02-23 20:33 -------- d---s---- C:\Dokumente und Einstellungen\sven\Anwendungsdaten\Microsoft
2007-02-09 12:12 -------- d-------- C:\Programme\Teledat
2007-02-09 12:12 -------- d-------- C:\Dokumente und Einstellungen\sven\Anwendungsdaten\Teledat
2007-02-06 09:59 -------- d-------- C:\Programme\Google
2007-01-31 17:25 -------- d-------- C:\Programme\Screensaver Factory 4 Standard
2007-01-31 17:25 -------- d-------- C:\Dokumente und Einstellungen\sven\Anwendungsdaten\Blumentals
2007-01-30 11:36 -------- d-------- C:\Programme\K-Lite Codec Pack
2007-01-30 09:50 -------- d-------- C:\Programme\eBay
2007-01-30 09:41 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-01-08 16:13 49152 -ra------ C:\WINDOWS\system32\inetwh32.dll
2007-01-08 16:13 1044480 -ra------ C:\WINDOWS\system32\roboex32.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"NVMixerTray"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="http://www.new-dream.de/image/wallpaper/computer/winxp/winxp_51_kopie.jpg"
"SubscribedURL"="http://www.new-dream.de/image/wallpaper/computer/winxp/winxp_51_kopie.jpg"
"FriendlyName"=""
"Flags"=dword:00001001
"Position"=hex:2c,00,00,00,10,02,00,00,1f,00,00,00,85,00,00,00,64,00,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,00
"OriginalStateInfo"=hex:18,00,00,00,10,02,00,00,1f,00,00,00,85,00,00,00,64,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:14,6d,92,05,41,c0,ac,74,58,21,1f,08,68,de,92,05,20,6d,\
92,05,28,d2,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,b5,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1172831638.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1169055321.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1169056111.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1169056601.job

Completion time: 07-03-19 9:22:18.89
C:\ComboFix.txt ... 07-03-19 09:22
C:\ComboFix2.txt ... 07-03-16 11:37
C:\ComboFix3.txt ... 07-02-28 22:44

C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Teledat\TelFax32.exe
C:\Programme\Teledat\TelFon32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\msvcrt.exe
C:\Dokumente und Einstellungen\sven\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: (no name) - {00D13CE9-1879-41bd-B8A3-EA3CB1BD01BC} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Helper Class - {850C7964-9320-4055-BE11-7D7B562A6417} - C:\WINDOWS\system32\mstrans.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Fax.lnk = C:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: Fon.lnk = C:\Programme\Teledat\TelFon32.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {76E5AF9D-2B3E-4FEB-A31F-A9E63A27FA29} (IASRunner Class) - https://www-307.ibm.com/pc/support/access/aslibmain/content/AcpIR.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4986/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B835AFE-CEA3-443C-A307-AD84D86C8BB0}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AABC124A-3DC9-4093-B0CF-AC0420144046}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

dabei noch die meldung von antivir c:\dokumente und einstellungen\sven\lokale einstellungen\temporary internet files\content.ie5ur3ks101\stat[1].htm es handelt sich um einen heuristichen treffer

Dieser Beitrag wurde am 19.03.2007 um 09:23 Uhr von x_corsa editiert.

19.03.2007, 11:53

Chris4You

Member

Beiträge: 694

#4 Hi,

bitte
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\mstrans.dll
C:\WINDOWS\system32\inetwh32.dll
C:\WINDOWS\system32\msvcrt.exe

poste die reporte

scannen lassen, es könnte sich um:
http://www.sophos.com/security/analyses/trojnethelli.html handeln.

Gruß,
Chris

19.03.2007, 12:00

Sabina

Ehrenmitglied

Beiträge: 29434

#5 x_corsa

zusaetzlich:

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

19.03.2007, 14:11

x_corsa

Member

Themenstarter

Beiträge: 40

#6 hi Sabina danke für die Antwort
Clenup habe ich so eingestellt hat leider nichts gebracht was cris vorschlägt geht nicht oder ich mache etwas verkehrt kommt immer fehler auf dieser seite.
hier der text von dirdat
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0A2-DAF8

Verzeichnis von c:\

19.03.2007 14:06 0 dirdat.txt
19.03.2007 09:22 7.113 ComboFix.txt
19.03.2007 09:03 536.399.872 hiberfil.sys
19.03.2007 09:03 1.610.612.736 pagefile.sys
18.03.2007 15:46 909 hpfr3420.xml
18.03.2007 15:46 36.294 hpfr3425.log
16.03.2007 11:37 6.925 ComboFix2.txt
28.02.2007 22:44 7.832 ComboFix3.txt
04.02.2007 14:14 294 boot.ini
19.12.2006 14:40 211 BOOT.BAK
07.11.2006 19:47 0 MSDOS.SYS
07.11.2006 19:47 0 CONFIG.SYS
07.11.2006 19:47 0 AUTOEXEC.BAT
07.11.2006 19:47 0 IO.SYS
03.08.2004 22:00 262.448 cmldr
03.08.2004 21:59 251.184 ntldr
03.08.2004 21:38 47.564 NTDETECT.COM
23.08.2001 13:00 4.952 bootfont.bin
18 Datei(en) 2.147.638.334 Bytes
0 Verzeichnis(se), 32.796.602.368 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0A2-DAF8

Verzeichnis von C:\WINDOWS\system32

19.03.2007 14:05 45 commands.xml
19.03.2007 09:31 44.501 tskscd.exe
19.03.2007 09:30 50.405 tsstop.exe
19.03.2007 09:04 87.881 nvapps.xml
19.03.2007 08:07 30.208 msvcrt.exe
19.03.2007 07:57 16.832 amcompat.tlb
19.03.2007 07:57 23.392 nscompat.tlb
19.03.2007 07:37 2.228 wpa.dbl
07.03.2007 09:21 1 ps.dat
07.03.2007 09:21 1 wab.dat
07.03.2007 09:21 1 cookie.dat
07.03.2007 09:21 45.056 mstrans.dll
07.03.2007 09:21 13.686 helper.xml
09.01.2007 12:22 118.952 FNTCACHE.DAT
09.01.2007 11:47 399.476 perfh009.dat
09.01.2007 11:47 58.404 perfc009.dat
09.01.2007 11:47 414.132 perfh007.dat
09.01.2007 11:47 70.180 perfc007.dat
09.01.2007 11:43 3.799 jupdate-1.5.0_04-b05.log
08.01.2007 16:13 49.152 inetwh32.dll
08.01.2007 16:13 1.044.480 roboex32.dll
19.12.2006 15:02 779.066 PerfStringBackup.INI
19.12.2006 14:46 288 $winnt$.inf

«

Dieser Beitrag wurde am 19.03.2007 um 14:26 Uhr von x_corsa editiert.

19.03.2007, 17:30

Sabina

Ehrenmitglied

Beiträge: 29434

#7 x_corsa

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{850C7964-9320-4055-BE11-7D7B562A6417}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{850C7964-9320-4055-BE11-7D7B562A6417}
HKLM\SYSTEM\CurrentControlSet\Services\rdriv

Files to delete:
C:\WINDOWS\system32\commands.xml
C:\WINDOWS\system32\tskscd.exe
C:\WINDOWS\system32\tsstop.exe
C:\WINDOWS\system32\ps.dat
C:\WINDOWS\system32\wab.dat
C:\WINDOWS\system32\cookie.dat
C:\WINDOWS\system32\mstrans.dll
C:\WINDOWS\system32\msvcrt.exe
C:\WINDOWS\system32\rdriv.sys
C:\WINDOWS\system32\helper.xml

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne, stelle nach dem scan alles in Quarantaene und poste den report
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

19.03.2007, 20:50

x_corsa

Member

Themenstarter

Beiträge: 40

#8 so nun geht virus total hoffe das hilft
Update Result
AhnLab-V3 2007.3.19.0 03.19.2007 no virus found
AntiVir 7.3.1.43 03.19.2007 no virus found
Authentium 4.93.8 03.17.2007 no virus found
Avast 4.7.936.0 03.19.2007 no virus found
AVG 7.5.0.447 03.19.2007 no virus found
BitDefender 7.2 03.19.2007 no virus found
CAT-QuickHeal 9.00 03.15.2007 no virus found
ClamAV devel-20070312 03.19.2007 no virus found
DrWeb 4.33 03.19.2007 no virus found
eSafe 7.0.14.0 03.19.2007 no virus found
eTrust-Vet 30.6.3491 03.19.2007 no virus found
Ewido 4.0 03.19.2007 no virus found
FileAdvisor 1 03.19.2007 No Thread detected
Fortinet 2.85.0.0 03.19.2007 no virus found
F-Prot 4.3.1.45 03.17.2007 no virus found
F-Secure 6.70.13030.0 03.19.2007 no virus found
Ikarus T3.1.1.3 03.19.2007 no virus found
Kaspersky 4.0.2.24 03.19.2007 no virus found
McAfee 4986 03.16.2007 no virus found
Microsoft 1.2306 03.19.2007 no virus found
NOD32v2 2126 03.19.2007 no virus found
Norman 5.80.02 03.19.2007 no virus found
Panda 9.0.0.4 03.19.2007 no virus found
Prevx1 V2 03.19.2007 no virus found
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.16.2007 no virus found
Symantec 10 03.19.2007 no virus found
TheHacker 6.1.6.077 03.19.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.18.2007 no virus found
VirusBuster 4.3.7:9 03.18.2007 no virus found

STATUS: FINISHEDComplete scanning result of "msvcrt.exe", received in VirusTotal at 03.19.2007, 14:28:10 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.19.0 03.19.2007 no virus found
AntiVir 7.3.1.43 03.19.2007 HEUR/Malware
Authentium 4.93.8 03.17.2007 no virus found
Avast 4.7.936.0 03.19.2007 Win32:Agent-EVD
AVG 7.5.0.447 03.19.2007 no virus found
BitDefender 7.2 03.19.2007 no virus found
CAT-QuickHeal 9.00 03.15.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 03.19.2007 no virus found
DrWeb 4.33 03.19.2007 no virus found
eSafe 7.0.14.0 03.19.2007 Suspicious Trojan/Worm
eTrust-Vet 30.6.3491 03.19.2007 no virus found
Ewido 4.0 03.19.2007 no virus found
FileAdvisor 1 03.19.2007 no virus found
Fortinet 2.85.0.0 03.19.2007 suspicious
F-Prot 4.3.1.45 03.17.2007 no virus found
F-Secure 6.70.13030.0 03.19.2007 no virus found
Ikarus T3.1.1.3 03.19.2007 no virus found
Kaspersky 4.0.2.24 03.19.2007 no virus found
McAfee 4986 03.16.2007 no virus found
Microsoft 1.2306 03.19.2007 no virus found
NOD32v2 2126 03.19.2007 no virus found
Norman 5.80.02 03.19.2007 no virus found
Panda 9.0.0.4 03.19.2007 no virus found
Prevx1 V2 03.19.2007 Covert.Sys.Exec
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.16.2007 no virus found
Symantec 10 03.19.2007 no virus found
TheHacker 6.1.6.077 03.19.2007 no virus found
UNA STATUS: FINISHEDComplete scanning result of "mstrans.dll", received in VirusTotal at 03.19.2007, 14:30:20 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.19.0 03.19.2007 no virus found
AntiVir 7.3.1.43 03.19.2007 HEUR/Malware
Authentium 4.93.8 03.17.2007 no virus found
Avast 4.7.936.0 03.19.2007 Win32:Banker-BPM
AVG 7.5.0.447 03.19.2007 no virus found
BitDefender 7.2 03.19.2007 no virus found
CAT-QuickHeal 9.00 03.15.2007 no virus found
ClamAV devel-20070312 03.19.2007 no virus found
DrWeb 4.33 03.19.2007 Trojan.PWS.School
eSafe 7.0.14.0 03.19.2007 no virus found
eTrust-Vet 30.6.3491 03.19.2007 no virus found
Ewido 4.0 03.19.2007 no virus found
FileAdvisor 1 03.19.2007 no virus found
Fortinet 2.85.0.0 03.19.2007 suspicious
F-Prot 4.3.1.45 03.17.2007 no virus found
F-Secure 6.70.13030.0 03.19.2007 no virus found
Ikarus T3.1.1.3 03.19.2007 Trojan-PWS.Win32.Agent.km
Kaspersky 4.0.2.24 03.19.2007 no virus found
McAfee 4986 03.16.2007 no virus found
Microsoft 1.2306 03.19.2007 PWS:Win32/Cimuz.gen
NOD32v2 2126 03.19.2007 a variant of Win32/Spy.Banker.CKW
Norman 5.80.02 03.19.2007 no virus found
Panda 9.0.0.4 03.19.2007 Suspicious file
Prevx1 V2 03.19.2007 Malicious
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.16.2007 no virus found
Symantec 10 03.19.2007 Backdoor.Haxdoor
TheHacker 6.1.6.077 03.19.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.18.2007 suspected of
1.83 03.16.2007 no virus found
hoffe das hilft
habe nun avenger ausgefürt anbei der log leider habe ich jetzt wieder den windows fehler das ich kein programm öffnen kann
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pplhbxlb

*******************

Script file located at: \??\C:\WINDOWS\system32\xxhlprct.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SYSTEM\CurrentControlSet\Services\rdriv not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\rdriv failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\rdriv
Status: 0xc0000034

File C:\WINDOWS\system32\commands.xml deleted successfully.
File C:\WINDOWS\system32\tskscd.exe deleted successfully.
File C:\WINDOWS\system32\tsstop.exe deleted successfully.
File C:\WINDOWS\system32\ps.dat deleted successfully.
File C:\WINDOWS\system32\wab.dat deleted successfully.
File C:\WINDOWS\system32\cookie.dat deleted successfully.
File C:\WINDOWS\system32\mstrans.dll deleted successfully.
File C:\WINDOWS\system32\msvcrt.exe deleted successfully.

File C:\WINDOWS\system32\rdriv.sys not found!
Deletion of file C:\WINDOWS\system32\rdriv.sys failed!

Could not process line:
C:\WINDOWS\system32\rdriv.sys
Status: 0xc0000034

File C:\WINDOWS\system32\helper.xml deleted successfully.

Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{850C7964-9320-4055-BE11-7D7B562A6417} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{850C7964-9320-4055-BE11-7D7B562A6417} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{850C7964-9320-4055-BE11-7D7B562A6417} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Dieser Beitrag wurde am 20.03.2007 um 07:56 Uhr von x_corsa editiert.

20.03.2007, 10:25

Sabina

Ehrenmitglied

Beiträge: 29434

#9 ««
Download TrendMicro's Rootkit Buster - Double-click RootkitBuster.exe -
http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip
poste den scanreport-TMRB.Log

««
http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

««
poste noch mal das log vom hijackthis + die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

20.03.2007, 10:34

x_corsa

Member

Themenstarter

Beiträge: 40

#10 so habe es geschaft trotz windows system 32 fehler erst mal conterspy zu starten hier der log mache gleich noch das andere danke danke danke!!!!
Scan History Details
Start Date: 20.3.2007 09:58:34
End Date: 20.3.2007 10:25:39
Total Time: 27 Min 5 Sec
Detected security risks

Trojan.Nethell Trojan more information...
Status: Quarantined

Registry entries detected
HKEY_LOCAL_MACHINE\Software\Classes\HELPER.HELPER
HKEY_LOCAL_MACHINE\Software\Classes\HELPER.HELPER
HKEY_LOCAL_MACHINE\Software\Classes\HELPER.HELPER.1
HKEY_LOCAL_MACHINE\Software\Classes\HELPER.HELPER.1
HKEY_LOCAL_MACHINE\Software\Classes\HELPER.HELPER.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\HELPER.HELPER.1\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\HELPER.HELPER\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\HELPER.HELPER\CLSID
HKEY_LOCAL_MACHINE\Software\Classes\HELPER.HELPER\CurVer
HKEY_LOCAL_MACHINE\Software\Classes\HELPER.HELPER\CurVer
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{00D13CE9-1879-41BD-B8A3-EA3CB1BD01BC}
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{850C7964-9320-4055-BE11-7D7B562A6417}
HKEY_USERS\S-1-5-21-1454471165-706699826-854245398-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{00D13CE9-1879-41BD-B8A3-EA3CB1BD01BC}
HKEY_USERS\S-1-5-21-1454471165-706699826-854245398-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{00D13CE9-1879-41BD-B8A3-EA3CB1BD01BC}\iexplore
HKEY_USERS\S-1-5-21-1454471165-706699826-854245398-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{00D13CE9-1879-41BD-B8A3-EA3CB1BD01BC}\iexplore
HKEY_USERS\S-1-5-21-1454471165-706699826-854245398-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{00D13CE9-1879-41BD-B8A3-EA3CB1BD01BC}\iexplore
HKEY_USERS\S-1-5-21-1454471165-706699826-854245398-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{00D13CE9-1879-41BD-B8A3-EA3CB1BD01BC}\iexplore

so der log vonRootkit buster

+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------

--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.

--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.
««

Dieser Beitrag wurde am 20.03.2007 um 10:40 Uhr von x_corsa editiert.

20.03.2007, 10:35

Sabina

Ehrenmitglied

Beiträge: 29434

#11 ««
Download TrendMicro's Rootkit Buster - Double-click RootkitBuster.exe -
http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip
poste den scanreport-TMRB.Log

««
http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

««
poste noch mal das log vom hijackthis + die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

20.03.2007, 10:59

x_corsa

Member

Themenstarter

Beiträge: 40

#12 So nun der log von hijack und dat mache ich gleich noch

GMER 1.0.12.12086 - http://www.gmer.net
Rootkit scan 2007-03-20 10:58:33
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.12 ----

SSDT \??\C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwOpenProcess
SSDT \??\C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwTerminateProcess

---- EOF - GMER 1.0.12 ----
nun der von hij
Logfile of HijackThis v1.99.1
Scan saved at 11:01:24, on 20.3.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\CounterSpy\CounterSpy.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
H:\Hijackbekämpfung\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Fax.lnk = C:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: Fon.lnk = C:\Programme\Teledat\TelFon32.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {76E5AF9D-2B3E-4FEB-A31F-A9E63A27FA29} (IASRunner Class) - https://www-307.ibm.com/pc/support/access/aslibmain/content/AcpIR.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4986/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B835AFE-CEA3-443C-A307-AD84D86C8BB0}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AABC124A-3DC9-4093-B0CF-AC0420144046}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

und data
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0A2-DAF8

Verzeichnis von c:\

20.03.2007 11:06 0 dirdat.txt
20.03.2007 09:52 86 SBCSTray.log
20.03.2007 09:50 536.399.872 hiberfil.sys
20.03.2007 09:50 1.610.612.736 pagefile.sys
20.03.2007 07:47 3.738 avenger.txt
19.03.2007 09:22 7.113 ComboFix.txt
18.03.2007 15:46 909 hpfr3420.xml
18.03.2007 15:46 36.294 hpfr3425.log
16.03.2007 11:37 6.925 ComboFix2.txt
28.02.2007 22:44 7.832 ComboFix3.txt
04.02.2007 14:14 294 boot.ini
19.12.2006 14:40 211 BOOT.BAK
07.11.2006 19:47 0 MSDOS.SYS
07.11.2006 19:47 0 IO.SYS
07.11.2006 19:47 0 AUTOEXEC.BAT
07.11.2006 19:47 0 CONFIG.SYS
03.08.2004 22:00 262.448 cmldr
03.08.2004 21:59 251.184 ntldr
03.08.2004 21:38 47.564 NTDETECT.COM
23.08.2001 13:00 4.952 bootfont.bin
20 Datei(en) 2.147.642.158 Bytes
0 Verzeichnis(se), 31.861.174.272 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B0A2-DAF8

Verzeichnis von C:\WINDOWS\system32

20.03.2007 09:58 0 SBFC.dat
20.03.2007 09:58 0 SBRC.dat
19.03.2007 09:04 87.881 nvapps.xml
19.03.2007 07:57 16.832 amcompat.tlb
19.03.2007 07:57 23.392 nscompat.tlb
19.03.2007 07:37 2.228 wpa.dbl
09.03.2007 09:57 27.376 SBBD.exe
09.01.2007 12:22 118.952 FNTCACHE.DAT
09.01.2007 11:47 399.476 perfh009.dat
09.01.2007 11:47 58.404 perfc009.dat
09.01.2007 11:47 414.132 perfh007.dat
09.01.2007 11:47 70.180 perfc007.dat
09.01.2007 11:43 3.799 jupdate-1.5.0_04-b05.log
08.01.2007 16:13 1.044.480 roboex32.dll
08.01.2007 16:13 49.152 inetwh32.dll
28.12.2006 16:13 516.832 capicom.dll
19.12.2006 15:02 779.066 PerfStringBackup.INI
19.12.2006 14:46 288 $winnt$.inf
19.12.2006 14:42 488 WindowsLogon.manifest
19.12.2006 14:42 488 logonui.exe.manifest
19.12.2006 14:42 749 cdplayer.exe.manifest
19.12.2006 14:42 749 wuaucpl.cpl.manifest
19.12.2006 14:42 749 ncpa.cpl.manifest
19.12.2006 14:42 749 nwc.cpl.manifest
19.12.2006 14:42 749 sapi.cpl.manifest
19.12.2006 14:41 22.908 emptyregdb.dat
11.12.2006 00:12 5.120 ff_vfw.dll
15.11.2006 22:01 3.596.288 qt-dx331.dll
08.11.2006 16:34 53.352 jpicpl32.cpl
08.11.2006 16:34 28.768 javaw.exe
08.11.2006 16:34 24.670 java.exe

edit (Sabina)

Dieser Beitrag wurde am 20.03.2007 um 11:06 Uhr von x_corsa editiert.

20.03.2007, 12:37

Sabina

Ehrenmitglied

Beiträge: 29434

#13 x_corsa

im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 3

3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

20.03.2007, 13:30

x_corsa

Member

Themenstarter

Beiträge: 40

#14 so ich hoffe ich habe den richtiegen log
Sophos Anti-Virus
Version 4.15.0 [Win32/Intel]
Virus data version 4.15, March 2007
Includes detection for 225076 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 13:02:44, System date 20 March 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Password protected file C:\Dokumente und Einstellungen\sven\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file C:\Dokumente und Einstellungen\sven\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\DEU\read0700win_DEUadbe0700.pdf
Could not open C:\hiberfil.sys
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
>>> Virus 'Mal/HckPk-A' found in file C:\Programme\Screensaver Factory 4 Standard\scrfact.exe
Removal successful
>>> Virus 'Mal/NetHelDl-A' found in file C:\System Volume Information\_restore{4C0FE7DA-D1C5-463B-A495-78A3EAC99A66}\RP1\A0002661.dll
Removal successful
>>> Virus 'Mal/HckPk-A' found in file C:\System Volume Information\_restore{4C0FE7DA-D1C5-463B-A495-78A3EAC99A66}\RP2\A0006946.exe
Removal successful

2 boot sectors swept.
20476 files swept in 15 minutes and 31 seconds.
7 errors were encountered.
3 viruses were discovered.
3 files out of 20476 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
6 encrypted files were not checked.
Ending Sophos Anti-Virus.

20.03.2007, 14:43

Sabina

Ehrenmitglied

Beiträge: 29434

#15 ««
ueberpruefe, ob das deinstalliert ist:
C:\Programme\Screensaver Factory 4 Standard

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

»»
scanne mit kaspersky und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2