worm allaple: wie entfernen? |
||
---|---|---|
#0
| ||
20.03.2007, 13:12
Member
Beiträge: 11 |
||
|
||
20.03.2007, 13:19
Ehrenmitglied
Beiträge: 29434 |
#2
el al
«« Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. «« im Normalmodus http://virus-protect.org/artikel/tools/sdfix.html RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen - waehle 6 - scanne und poste den report -------------------- scanne mit kaspersky und poste den report http://virus-protect.org/onlinescan.html »» poste das log vom Hijackthis http://virus-protect.org/hjtkurz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.03.2007, 17:44
Member
Themenstarter Beiträge: 11 |
#3
hi sabina & MERCI für die rasche antwort!
report sophos: ------------- (3 kilometer lange 'successful-removal'-liste, poste darum jetzt nur die letzten 3 einträge) ... >>> Virus 'Mal/Allaple-A' found in file I:\WINDOWS\system32\oobe\sjshkwbk.exe Removal successful >>> Virus 'Mal/Allaple-A' found in file I:\WINDOWS\system32\urdvxc.exe Removal failed >>> Virus 'Mal/Allaple-A' found in file I:\WINDOWS\Web\wnrvesvv.exe Removal successful 1 boot sector swept. 34899 files swept in 36 minutes and 3 seconds. 1734 viruses were discovered. 1734 files out of 34899 were infected. Please send infected samples to Sophos for analysis. For advice consult www.sophos.com, email support@sophos.com or telephone +44 1235 559933 Ending Sophos Anti-Virus. ----------- weiter mit den beiden kaspersky-scans: erster kaspersky-report/scanauswahl:'kritische objekte': ----------- ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Dienstag, 20. März 2007 17:52:51 Betriebssystem: Microsoft Windows XP Professional, Service Pack 1 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 20/03/2007 Anzahl der Einträge in den Antiviren-Datenbanken: 267504 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Kritische Objekte: I:\WINDOWS I:\DOKUME~1\Naiad\LOKALE~1\Temp\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 10245 Viren gefunden: 2 Infizierte Objekte gefunden: 71 / 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 00:29:08 Name des infizierten Objekts / Virusname / Letzte Aktion I:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen I:\WINDOWS\Help\ciadmin.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\snd.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\contents.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\Help\wmerr.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\ModemLog_Acer Modem 56 Surf USB.txt Das Objekt ist gesperrt übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\CompatCtr\AboutCompat.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\CompatCtr\CompatOffline.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\CompatCtr\LearnCompat.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\DFS\privacy.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\DFS\uplddrvinfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\DFS\xmldialog.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\DVDUpgrd\dvdupgrd.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\ErrMsg\ErrorMessagesOffline.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\NetDiag\dglogshelp.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\rc\rcRequest.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Common\ConnIssue.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Common\LearnInternet.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Common\RCMoreInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\helpeeaccept.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\DividerBar.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\RAChatClient.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\RAClient.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\RAStatusBar.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\rcscreen6_head.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Client\setting.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Common\ErrorMsgs.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Common\RCFileXfer.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Common\VOIPMsgs.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\DividerBar1.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\DividerBar2.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\RAChatServer.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\SettingServer.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\TakeControlMsgs.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\RAStartPage.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\rcBuddy.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\msinfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysComponentInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysEvtLogInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysHealthInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysinfosum.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysRemoteInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysServicesInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysSoftwareInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\UpdateCtr\AboutWU.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\UpdateCtr\Learn.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\UpdateCtr\LearnInternet.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\UpdateCtr\learnWU.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\System\UpdateCtr\updatecenter.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Connection.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\OfflineDC.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\OfflineOptions.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\ConnIssue.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\LearnInternet.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\RCMoreInfo.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\confirm.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcConnection.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcscreen1.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcscreen2.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcscreen3.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcDetails.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcInviteStatus.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen4.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen5.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen6.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen6_head.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen7.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen8.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen9.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\PCHealth\HelpCtr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\rcstatus.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\DEFAULT.LOG Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\SOFTWARE.LOG Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\config\SYSTEM.LOG Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\spool\PRINTERS\FP00002.SHD Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\spool\PRINTERS\FP00002.SPL Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\urdvxc.exe Infizierte Objekte: Net-Worm.Win32.Allaple.b übersprungen I:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen I:\WINDOWS\Temp\Perflib_Perfdata_678.dat Das Objekt ist gesperrt übersprungen I:\WINDOWS\Temp\Perflib_Perfdata_714.dat Das Objekt ist gesperrt übersprungen I:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen I:\WINDOWS\Web\tip.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen I:\DOKUME~1\Naiad\LOKALE~1\Temp\~DFDCE5.tmp Das Objekt ist gesperrt übersprungen I:\DOKUME~1\Naiad\LOKALE~1\Temp\~DFDCFE.tmp Das Objekt ist gesperrt übersprungen I:\DOKUME~1\Naiad\LOKALE~1\Temp\~DFF3DD.tmp Das Objekt ist gesperrt übersprungen I:\DOKUME~1\Naiad\LOKALE~1\Temp\~DFF823.tmp Das Objekt ist gesperrt übersprungen I:\DOKUME~1\Naiad\LOKALE~1\Temp\~DFFB03.tmp Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. ----------------- beim zweiten gefundenen virus handelt es sich übrigens um allaple.b (s.o. - fett), und zwar geht es genau um die datei, die vorher als einzige beim sophos-scan NICHT 'successful removed' werden konnte. warum sind lt. report eigentlich so viele objekte gesperrt? ok, weiter mit dem zweiten kaspersky-scan - auswahl: 'arbeitsplatz' dieser war wieder so endlos lang, dass ich hier nur die letzten zeilen poste.. --------------- Dienstag, 20. März 2007 20:04:00 Betriebssystem: Microsoft Windows XP Professional, Service Pack 1 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 20/03/2007 Anzahl der Einträge in den Antiviren-Datenbanken: 267504 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Arbeitsplatz C:\ D:\ E:\ F:\ G:\ I:\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 60856 Viren gefunden 2 Infizierte Objekte gefunden 1527 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 02:04:16 (...) I:\WINDOWS\system32\spool\PRINTERS\FP00002.SHD Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\spool\PRINTERS\FP00002.SPL Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\urdvxc.exe Infizierte Objekte: Net-Worm.Win32.Allaple.b übersprungen I:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen I:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen I:\WINDOWS\Temp\Perflib_Perfdata_678.dat Das Objekt ist gesperrt übersprungen I:\WINDOWS\Temp\Perflib_Perfdata_714.dat Das Objekt ist gesperrt übersprungen I:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen I:\WINDOWS\Web\tip.htm Infizierte Objekte: Net-Worm.Win32.Allaple.a übersprungen Die Untersuchung wurde abgeschlossen. -------------------- und zum schluss hijackthis-log: -------------- Logfile of HijackThis v1.99.1 Scan saved at 20:21:00, on 20.03.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\system32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\System32\svchost.exe I:\Programme\Ahead\InCD\InCDsrv.exe I:\WINDOWS\Explorer.EXE I:\WINDOWS\system32\spoolsv.exe I:\Programme\Alwil Software\Avast4\aswUpdSv.exe I:\WINDOWS\System32\hkcmd.exe I:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe I:\WINDOWS\tppaldr.exe I:\Programme\Ahead\InCD\InCD.exe I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe I:\Programme\iTunes\iTunesHelper.exe I:\Programme\Classic PhoneTools\CapFax.EXE I:\WINDOWS\SOUNDMAN.EXE I:\WINDOWS\System32\ctfmon.exe I:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe I:\Programme\Portrait Displays\MagicTune\DTHtml.exe I:\Programme\PGP Corporation\PGP Desktop\PGPtray.exe I:\Programme\Alwil Software\Avast4\ashServ.exe I:\Programme\Portrait Displays\MagicTune\dtsrvc.exe I:\WINDOWS\System32\urdvxc.exe I:\WINDOWS\System32\PGPserv.exe I:\Programme\iPod\bin\iPodService.exe I:\Programme\Alwil Software\Avast4\ashMaiSv.exe I:\Programme\Alwil Software\Avast4\ashWebSv.exe I:\Programme\Mozilla Thunderbird\thunderbird.exe I:\PROGRA~1\MOZILL~1\FIREFOX.EXE I:\Programme\Internet Explorer\IEXPLORE.EXE I:\Dokumente und Einstellungen\Naiad\Desktop\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.5.0_10\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IgfxTray] I:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] I:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Home Theater SchSvr] "I:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [TPP Auto Loader] I:\WINDOWS\tppaldr.exe O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] I:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "I:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [CapFax] I:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WINCINEMAMGR] I:\Programme\Common\Bin\WinCinemaMgr.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "I:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [Opware15] "I:\Programme\ScanSoft\OmniPage15.0\Opware15.exe" O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [OpScheduler] "I:\Programme\ScanSoft\OmniPage15.0\OpScheduler.exe" O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [OpAgent] "I:\Programme\ScanSoft\OmniPage15.0\OpAgent.exe" /agent O4 - HKCU\..\Run: [MSMSGS] "I:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = I:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: MagicTune.lnk = I:\Programme\Portrait Displays\MagicTune\DTHtml.exe O4 - Global Startup: Microsoft Office.lnk = I:\Programme\word\Office\OSA9.EXE O4 - Global Startup: PGPtray.exe.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - I:\WINDOWS\web\related.htm O10 - Unknown file in Winsock LSP: i:\windows\system32\pgplsp.dll O10 - Unknown file in Winsock LSP: i:\windows\system32\pgplsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E3C707B7-82D7-4E5D-A693-C9DC632F09BF}: NameServer = 154.15.251.138 154.15.251.130 O20 - AppInit_DLLs: OCMAPIHK.DLL O20 - Winlogon Notify: igfxcui - I:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - I:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - I:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - I:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - I:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - I:\Programme\Portrait Displays\MagicTune\dtsrvc.exe O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - I:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - I:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service - Apple Computer, Inc. - I:\Programme\iPod\bin\iPodService.exe O23 - Service: Network Windows Service (MSWindows) - Unknown owner - I:\WINDOWS\System32\urdvxc.exe" /service (file missing) O23 - Service: PGPserv - PGP Corporation - I:\WINDOWS\System32\PGPserv.exe -------------- ok - und jetzt? sollte es doch wichtig sein, die reports jeweils KOMPLETT zu posten, sagt bescheid - ich habe wiegesagt keine ahnung von sowas. mir kam es halt einfach komisch vor, diese endlos-logs hier reinzupacken und ausserdem tauchen da einige schützenswerte daten auf wie z.b. komplette namen verschiedener leute. gruss! el al Dieser Beitrag wurde am 20.03.2007 um 20:46 Uhr von el al editiert.
|
|
|
||
20.03.2007, 21:46
Ehrenmitglied
Beiträge: 29434 |
#4
««
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html ººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººººº «« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten «« sophos hat nicht alles geloescht, also: deaktiviere deine bisherigen virenscanner (Avast4) - oder besser noch voellig deinstallieren (kannst du nach erledigter Reinigung wieder laden) lade Kaspersky Anti-Virus 6.0 - der scanner wird alles deinfizieren http://virus-protect.org/antivirenfree.html + berichte --------------- Beispiel: http://virus-protect.org/artikel/dienste/microsoftagent.html « __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.03.2007, 23:37
Member
Themenstarter Beiträge: 11 |
#5
hi,
danke für die rückmeldung.. habe alles wie beschrieben durchgeführt, und nach neustart kam folgender avenger-report: --------- Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\subtpikh ******************* Script file located at: \??\I:\WINDOWS\System32\khlwfaha.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at I:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSWINDOWS deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSWindows deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSWINDOWS deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSWindows deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWINDOWS not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWINDOWS failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSWINDOWS Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows Status: 0xc0000034 Registry key \Registry\Machine\System\CurrentControlSet\Services\Network Windows Service not found! Unload of driver Network Windows Service failed! Could not process line: Network Windows Service Status: 0xc0000034 Registry key \Registry\Machine\System\CurrentControlSet\Services\MSWindows not found! Unload of driver MSWindows failed! Could not process line: MSWindows Status: 0xc0000034 File I:\WINDOWS\system32\urdvxc.exe deleted successfully. Completed script processing. ******************* Finished! Terminate. ---------------- was ist davon zu halten? und: soll ich hier eigentl. noch die 6 gespeicherten datfindbat-txt's posten oder so? es gab da näml. ein kleines problem, die letzte datei sollte ja als 'c.txt' gespeichert werden, meine festplatte heisst aber 'i', und darum hab ich die datei zusätzl. ein zweites mal unter 'i.txt' gespeichert.. war das blöd? hatte übrigens lt. deiner anleitung avast deinstalliert, spybot jedoch vergessen - der war jetzt die ganze zeit an.. ist das problematisch? ok, erwarte mit bangen deine antwort v.wg. ob's bis hierher geklappt hat.. werde jetzt erstmal anfangen, kaspersky mit 56kbit runterzuladen.. bis später! el al ------------ ------------ guten morgen - habe jetzt kaspersky drüberlaufen lassen: 1525 dateien gefunden & 'desinfiziert' - was heisst das? war alles vorher umsonst? und ist der virus jetzt weg, oder muss ich weitere schritte unternehmen? gruss! Dieser Beitrag wurde am 21.03.2007 um 10:40 Uhr von el al editiert.
|
|
|
||
21.03.2007, 15:40
Ehrenmitglied
Beiträge: 29434 |
#6
jetzt ist alles wieder i.o.
sophos hat einen teil geloescht/desinfiziert, mein avengerscript hat dem erstellten Dienst + der urdvxc.exe den Garaus gemacht und kaspersky den rest erledigt. scanne also noch mal mit kaspersky im abgesicherten Modus, dann buegel noch mal mit sophos drueber und berichte + poste das neue Log vom HijacktHis + die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.03.2007, 23:47
Member
Themenstarter Beiträge: 11 |
#7
hi,
klingt ja eigentl. erstmal alles sehr schön - kaspersky-scan im abgesicherten modus ergab ebenfalls 'alles ok'. irritierend ist jedoch folgendes: beim sophosscan (im normalen modus - war hoffentl. richtig?) wurde in einer datei ein neuer virus entdeckt: 'Mal/Iframe-A'; der scan brach dann etwas später ab, und es wurde auch kein report im sdfix-ordner abgelegt; bei einem zweiten versuch wiederholte sich das ganze. habe anschl. nochmal kaspersky drüberlaufenlassen, der die infizierte datei als 'ok' eingestuft hat: >> 21.03.2007 23:16:59 Datei: I:\Dokumente und Einstellungen\...\Eigene Dateien\dateien\a - job...\pragmatix-recherchen\drucker2a_Dateien\d.html ok untersucht << bei jotti hat nur panda beanstandet: >> Panda Antivirus Found HTML/Instancob.A << hab das ding erstmal in die kaspersky-quarantäne gepackt. und nu? : / einfach von kaspersky löschen lassen und gut? und ansonsten: trotzdem jetzt 'hijacken' und posten? und - meintest du, dass ich die alten 6 datfindbat-logs posten soll, oder neue? gruss vom schon-fast-glücklichen-aber-noch-abwartenden el al Dieser Beitrag wurde am 22.03.2007 um 00:39 Uhr von el al editiert.
|
|
|
||
22.03.2007, 10:22
Ehrenmitglied
Beiträge: 29434 |
#8
1.
scanne mit panda und poste den report http://virus-protect.org/panda_online.html 2. poste die 6 logs von datfindbat (so wie auf der seite erklaert) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2007, 12:23
Member
Themenstarter Beiträge: 11 |
#9
lade gerade panda runter - und was die 6 datfindbat-logs angeht, gabs ein missverständnis:
ich wollte nicht wissen, wie man das macht, sondern ob ich die 6 ALTEN logs, die ich ja laut deiner anweisung von weiter oben im thread bereits erstellt aber noch nicht gepostet hatte, hier reinstellen soll - oder NEUE machen. (denn da ich nicht weiss, wozu die dinger gut sind, erschliesst sich mir die entsprechende antworts-logik nicht automatisch.. und: wann soll ich eigentl. die systemwiederherstellung wieder aktivieren? gruss! |
|
|
||
22.03.2007, 12:29
Ehrenmitglied
Beiträge: 29434 |
#10
ich sehe keine 6 logs von datfindbat und selbst wenn du sie schon mal gepostet haben solltest,- will ich, dass du die datfindbat neu anwendest. - und die neuen logs hier postest.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2007, 12:45
Member
Themenstarter Beiträge: 11 |
#11
Zitat Sabina posteteich schrieb ja auch: Zitat ..ob ich die 6 ALTEN logs, die ich ja laut deiner anweisung von weiter oben im thread bereits erstellt aber noch nicht gepostet hatte,..jedenfalls: ok - mach' ich. Dieser Beitrag wurde am 22.03.2007 um 12:49 Uhr von el al editiert.
|
|
|
||
22.03.2007, 12:51
Ehrenmitglied
Beiträge: 29434 |
||
|
||
22.03.2007, 21:55
Member
Themenstarter Beiträge: 11 |
#13
so, geht endl. weiter - wurde vorhin unterbrochen.
musste übrigens kaspersky deinstallieren, da panda nach über 3 std. immernoch nicht aufhörte, die ganzen kaspersky-lab-dateien zu scannen; hoffe, die deinstall-entscheidung war ok. hier der auszug v. panda-report: Incident Status Location Adware:adware/superspider Not disinfected i:\windows\system32\a.exe Dialer:dialer.su Not disinfected hkey_local_machine\software\microsoft\windows\currentversion\uninstall\Switch Potentially unwanted tool:Application/Processor Not disinfected I:\Dokumente und Einstellungen\Naiad\Desktop\allaple-removaltools\SDFix.zip[SDFix.exe][SDFix\apps\Process.exe] Potentially unwanted tool:Application/Processor Not disinfected I:\SDFix\apps\Process.exe Virus:HTML/Instancob.A Disinfected I:\WINDOWS\Help\ciquery.htm Virus:HTML/Instancob.A Disinfected I:\WINDOWS\Help\ixqlang.htm Virus:HTML/Instancob.A Disinfected I:\WINDOWS\Help\migwiz.htm Virus:HTML/Instancob.A Disinfected I:\WINDOWS\Help\migwiz2.htm Virus:HTML/Instancob.A Disinfected I:\WINDOWS\system32\oobe\setup\timezone.htm Virus:HTML/Instancob.A Disinfected I:\WINDOWS\system32\oobe\setup\username.htm Virus:HTML/Instancob.A Disinfected I:\WINDOWS\system32\oobe\setup\welcome.htm ... (wieder nur ein auszug der liste, da 870 solcher vireneinträge..) datfindbat-logs: 1. system32.txt Volume in Laufwerk I: hat keine Bezeichnung. Volumeseriennummer: 8015-7042 Verzeichnis von I:\WINDOWS\system32 22.03.2007 20:29 2.550 Uninstall.ico 22.03.2007 20:29 1.406 Help.ico 22.03.2007 20:29 30.590 pavas.ico 22.03.2007 13:32 0 asfiles.txt 20.03.2007 23:06 2.953 CONFIG.NT 20.03.2007 22:36 9.728 Thumbs.db 19.03.2007 02:50 305.318 perfh009.dat 19.03.2007 02:50 37.760 perfc009.dat 19.03.2007 02:50 309.810 perfh007.dat 19.03.2007 02:50 45.672 perfc007.dat 19.03.2007 02:50 705.468 PerfStringBackup.INI 19.03.2007 02:13 115.712 a.exe 18.03.2007 12:39 2.206 wpa.dbl 14.03.2007 22:30 9.132 jupdate-1.5.0_10-b03.log 09.11.2006 15:07 127.078 javaws.exe 09.11.2006 15:07 49.265 jpicpl32.cpl 09.11.2006 13:28 53.346 javaw.exe 09.11.2006 13:28 49.248 java.exe 09.11.2006 11:15 176.264 FNTCACHE.DAT 25.10.2006 19:15 65.536 QuickTimeVR.qtx 25.10.2006 19:15 49.152 QuickTime.qts 2. systemtemp.txt Volume in Laufwerk I: hat keine Bezeichnung. Volumeseriennummer: 8015-7042 Verzeichnis von I:\DOKUME~1\Naiad\LOKALE~1\Temp 22.03.2007 21:26 512 ~DF29BA.tmp 22.03.2007 21:25 512 ~DFA826.tmp 22.03.2007 21:25 512 ~DFA60E.tmp 22.03.2007 21:25 512 ~DFA2FC.tmp 22.03.2007 20:43 18.024 GlaukaCommDll.log 22.03.2007 20:20 56.468 caevents.log 21.03.2007 20:01 835.160 IMT2B.xml 21.03.2007 20:01 426 IMT2A.xml 21.03.2007 20:01 2.036 IMT29.xml 21.03.2007 20:01 835.160 IMT28.xml 21.03.2007 20:01 426 IMT27.xml 21.03.2007 20:01 2.036 IMT26.xml 21.03.2007 20:00 835.160 IMT25.xml 21.03.2007 20:00 426 IMT24.xml 21.03.2007 20:00 2.036 IMT23.xml 21.03.2007 19:59 835.160 IMT20.xml 21.03.2007 19:59 426 IMT1F.xml 21.03.2007 19:59 2.036 IMT1E.xml 21.03.2007 10:13 0 WER6.tmp 21.03.2007 01:55 2.476.706 kl-install-2007-03-21-01-53-35.log 21.03.2007 01:54 0 kleaner.log 21 Datei(en) 5.903.734 Bytes 0 Verzeichnis(se), 4.735.234.048 Bytes frei 3. windows.txt Volume in Laufwerk I: hat keine Bezeichnung. Volumeseriennummer: 8015-7042 Verzeichnis von I:\WINDOWS 22.03.2007 21:25 13.746 ModemLog_Acer Modem 56 Surf USB.txt 22.03.2007 20:29 32 pavsig.txt 22.03.2007 20:23 0 0.log 22.03.2007 20:23 2.048 bootstat.dat 22.03.2007 20:22 32.622 SchedLgU.Txt 22.03.2007 17:31 33.526 setupapi.log 22.03.2007 13:31 561 win.ini 21.03.2007 21:24 216 wiadebug.log 21.03.2007 20:46 50 wiaservc.log 21.03.2007 20:45 0 Sti_Trace.log 19.03.2007 12:12 202 NeroDigital.ini 19.03.2007 00:03 4.161 ODBCINST.INI 19.03.2007 00:01 480 ODBC.INI 28.02.2007 02:29 20 crackpdf.INI 16.01.2007 01:02 167 wininit.ini 29.12.2006 14:05 13.510 mozver.dat 01.12.2006 00:18 1.937 CDPlayer.INI 12.08.2006 01:04 335 nsreg.dat 12.08.2006 01:04 87.184 NSUninst.exe 12.08.2006 01:04 4. temp.txt Volume in Laufwerk I: hat keine Bezeichnung. Volumeseriennummer: 8015-7042 Verzeichnis von I:\WINDOWS\Temp 22.03.2007 20:23 16.384 Perflib_Perfdata_4fc.dat 22.03.2007 17:20 16.384 Perflib_Perfdata_594.dat 22.03.2007 11:51 16.384 Perflib_Perfdata_590.dat 21.03.2007 19:09 16.384 Perflib_Perfdata_58c.dat 21.03.2007 13:17 16.384 Perflib_Perfdata_584.dat 21.03.2007 10:20 16.384 Perflib_Perfdata_588.dat 21.03.2007 02:00 16.384 Perflib_Perfdata_704.dat 21.03.2007 01:56 0 43.tmp 21.03.2007 01:56 0 44.tmp 21.03.2007 01:56 0 45.tmp 21.03.2007 01:56 0 46.tmp 21.03.2007 01:56 0 47.tmp 21.03.2007 01:56 0 42.tmp 21.03.2007 01:56 0 41.tmp 21.03.2007 01:56 0 40.tmp 21.03.2007 01:56 0 3F.tmp 21.03.2007 01:56 0 3E.tmp 21.03.2007 01:56 0 3D.tmp 21.03.2007 01:56 0 3C.tmp 20.03.2007 23:11 16.384 Perflib_Perfdata_508.dat 20 Datei(en) 131.072 Bytes 0 Verzeichnis(se), 4.735.225.856 Bytes frei 5. down.txt Volume in Laufwerk I: hat keine Bezeichnung. Volumeseriennummer: 8015-7042 Verzeichnis von I:\WINDOWS\Downloaded Program Files 24.08.2006 08:28 141.424 asinst.dll 22.08.2006 09:06 537 asinst.inf 08.08.2006 11:45 576 kavwebscan.inf 23.03.2005 17:37 65 desktop.ini 16.02.2005 15:15 401.408 isusweb.dll 08.12.2003 13:58 3.759 swflash.inf 25.07.2002 16:13 24.576 dwusplay.dll 25.07.2002 16:13 196.608 dwusplay.exe 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 10 Datei(en) 770.812 Bytes 0 Verzeichnis(se), 4.735.217.664 Bytes frei 6. i.txt Volume in Laufwerk I: hat keine Bezeichnung. Volumeseriennummer: 8015-7042 Verzeichnis von I:\ 22.03.2007 21:29 0 sys.txt 22.03.2007 21:28 783 down.txt 22.03.2007 21:27 1.251 tmp.txt 22.03.2007 21:26 4.187 system.txt 22.03.2007 21:26 1.275 systemtemp.txt 22.03.2007 21:24 98.184 system32.txt 22.03.2007 20:23 792.723.456 pagefile.sys 21.03.2007 22:14 193 boot.ini 20.03.2007 23:10 3.972 avenger.txt 20.03.2007 22:54 836 i.txt 20.03.2007 22:51 836 c.txt 20.03.2007 22:47 3.988 windows.txt 19.03.2007 00:35 4.002 debug.log 29.08.2002 00:05 235.296 ntldr 28.08.2002 20:08 47.580 NTDETECT.COM 18.08.2001 20:00 4.952 bootfont.bin 16 Datei(en) 793.130.791 Bytes 0 Verzeichnis(se), 4.735.197.184 Bytes frei wieso waren da schon wieder 870 infizierte dateien? wo kam dieses Schei... plötzl. her?! beim ersten sophos-scan war es noch nicht da.. Dieser Beitrag wurde am 22.03.2007 um 22:23 Uhr von el al editiert.
|
|
|
||
23.03.2007, 09:56
Ehrenmitglied
Beiträge: 29434 |
#14
Avenger
Zitat Files to delete:»» http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag ----------------------------------------------------------------- scanne noch mal mit panda « berichte http://virus-protect.org/panda_online.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2007, 12:14
Member
Themenstarter Beiträge: 11 |
#15
avanger:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\cxnewnec ******************* Script file located at: \??\I:\WINDOWS\yrwbbhxm.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at I:\Avenger ******************* Beginning to process script file: File I:\WINDOWS\system32\a.exe deleted successfully. File I:\WINDOWS\Temp\43.tmp deleted successfully. File I:\WINDOWS\Temp\44.tmp deleted successfully. File I:\WINDOWS\Temp\45.tmp deleted successfully. File I:\WINDOWS\Temp\46.tmp deleted successfully. File I:\WINDOWS\Temp\47.tmp deleted successfully. File I:\WINDOWS\Temp\42.tmp deleted successfully. File I:\WINDOWS\Temp\41.tmp deleted successfully. File I:\WINDOWS\Temp\40.tmp deleted successfully. File I:\WINDOWS\Temp\3F.tmp deleted successfully. File I:\WINDOWS\Temp\3E.tmp deleted successfully. File I:\WINDOWS\Temp\3D.tmp deleted successfully. File I:\WINDOWS\Temp\3C.tmp deleted successfully. Completed script processing. ******************* Finished! Terminate. ------------------ report runthisbat: ------------------ SDFix: Version 1.73 Run by Administrator - 23.03.2007 - 11:59:08,39 Microsoft Windows XP [Version 5.1.2600] Running From: I:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found... ADS Check: I:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Remaining Files: --------------- Checking For Files with Hidden Attributes : I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\arts&music\foto info\b p c - berlin-photo.com - berliner fotografen portal_dateien\Thumbs.db I:\Programme\Corel\Graphics10\Draw\Skripts\Sonstige\scpext.dll I:\Programme\Picasa2\setup.exe I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL0005.tmp I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL0690.tmp I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL1412.tmp I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL2004.tmp I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL2530.tmp I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL2600.tmp I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL3041.tmp I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL3146.tmp I:\Dokumente und Einstellungen\Naiad\Anwendungsdaten\Microsoft\Word\~WRL3408.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0003.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0115.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0242.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0279.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0307.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0377.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0386.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0483.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0751.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL0880.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL1050.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL1216.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL1372.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL1763.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL2020.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL2154.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL2223.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL2599.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL2819.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3046.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3139.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3279.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3337.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3398.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3430.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3517.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3653.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL3891.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\a - buch\A - buch - keine panik!\idee 2Ba\~WRL4096.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0039.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0060.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0259.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0471.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0639.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL0995.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL1232.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL1450.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL1541.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL1593.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL1907.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL2062.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL2105.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL3038.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL3151.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL3803.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2Ba neu\~WRL4062.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2C\~WRL0001.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\a - freelancing\a - buch - keine panik!\idee 2C\~WRL0004.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\alter rechner\a - job coaching\joachim\skript kopie 3.3.05\~WRL0497.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\alter rechner\a - job coaching\joachim\skript kopie 3.3.05\~WRL0688.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\alter rechner\a - job coaching\joachim\skript kopie 3.3.05\~WRL1414.tmp I:\Dokumente und Einstellungen\Naiad\Eigene Dateien\dateien\alter rechner\a - job coaching\joachim\skript kopie 3.3.05\~WRL3757.tmp I:\RECYCLER\S-1-5-21-776561741-1482476501-725345543-1003\Di9.tmp I:\WINDOWS\LastGood.Tmp\INF\oem25.inf I:\WINDOWS\LastGood.Tmp\INF\oem25.PNF I:\WINDOWS\LastGood.Tmp\INF\oem26.inf I:\WINDOWS\LastGood.Tmp\INF\oem26.PNF I:\WINDOWS\LastGood.Tmp\INF\oem27.inf I:\WINDOWS\LastGood.Tmp\INF\oem27.PNF I:\WINDOWS\LastGood.Tmp\INF\oem28.inf I:\WINDOWS\LastGood.Tmp\INF\oem28.PNF I:\WINDOWS\LastGood.Tmp\INF\oem29.inf I:\WINDOWS\LastGood.Tmp\INF\oem29.PNF Finished --------------- panda mache ich später, muss jetzt erstmal dringend weg. grüsse! |
|
|
||
bin komplett am verzweifeln: habe mir vorgestern nacht den wurm/trojaner 'allaple' eingefangen (knapp 2000 infizierte .exe-dateien auf dem rechner) und durchwühle seitdem das netz auf der suche nach hilfe, ohne an den entscheidenden punkten wirklich weiterzukommen:
weder ist mir trotz intensiver recherche richtig klargeworden,
A) was das ding genau macht (ausser sich wurmmässig über html-dateien zu vermehren und ausserdem 'irgendwie trojanermässig' zu agieren) - wo liegt die hauptgefahr? zerstört es wichtige dateien/einstellungen? sind andere betroffen, indem es sich über mails versendet o.ä.?
B) ob es trotz spybot-scan (s.u.) immernoch aktiv ist, oder es sich bei all diesen exe-dateien nur noch um eine art 'überbleibsel' handelt, nach deren beseitigung (wie??) alles wieder ok ist
C) ob es eine möglichkeit gibt, das problem mit hilfe entsprechender software (falls ja: welche? avast & kaspersky war nix, s.u.) zu lösen, OHNE das system neuzuinstallieren (habe keine install-cd)
history:
vorgestern nacht download zweier fotobearbeitungsprogs von 'foto-freeware.de', danach plötzl. ständige popups mit der aufforderung, wg. win32-problemen die seite registrycleanerxp.com aufzusuchen (adr. eingetragen in div. 'malware'-sammlungen). rechner wurde immer langsamer, dann wurde die internetverbindung unterbrochen. bei erneutem einwahlversuch fehlermeldung 623; daraufhin festgestellt, dass username & kennwort der vordefinierten verbindung gelöscht waren; nach neueingabe funktionierte es wieder. lud spybot runter & liess es drüberlaufen > entdeckte & behandelte 7 'probleme'; seitdem keine fehlermeldungen/popups mehr.
anschliessend zufällige entdeckung der knapp 2000 .exe-dateien (alle 56,5kb), jedoch: weder spybot noch avast registrierten diese als 'problematisch', erst Jotti-check ergab dann 'allaple'.
daraufhin kaspersky-tool speziell zur entfernung von allaple runtergeladen, das allerdings immer nur einen kurzen 'memory-scan' macht & dabei nix findet (viell. müsste ich das anders anwenden, als es einfach nur im normalen modus doppelanzuklicken - ist näml. irgendsoein ms-dos-ding, aber damit kenne ich mich nicht aus).
sysinfo:
xp professional, sp1 (weiss nicht, ob ich mir sp2 runterladen 'darf'), kein lan, kein dsl, einwahl per 56kmodem (nur über firefox & thunderbird)
ich wäre unglaublich dankbar für euren support, da ich weder jmd. kenne, der von solchen sachen eine ahnung hat, noch genug geld habe, um vor ort jmd. professionelles dafür zu bezahlen, und selber rechnermässig nur auf plattestem anwenderniveau unterwegs bin. soll heissen, ich bin nicht doof, nur meine kompetenzen liegen in anderen bereichen.. ich brauche wirklich schritt-für-schritt-anleitungen, und dann klappts normalerweise auch. es wäre supernett, wenn jemand von euch mir trotzdem helfen würde; anschliessende spende halte ich für selbstverständl.
desperate grüsse & onemillionthanx!!*
el al