Diverse Viren (4 Treffer mit Avira Antivir)

#0
21.03.2007, 01:07
...neu hier

Beiträge: 10
#1 Die verdächtigen Daten wurden auf einem Laptop gefunden, den ich erst seit kurzem wieder benutze. Vorher lag er für einige Monate brach. Das hatte allerdings nix mit Viren etc. zu tun.

Avira Antivir ist derzeit die aktuellste Version und ist nach euren "verschärften" Einstellungen konfiguriert.

Hier der letzte Report:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 21. März 2007 00:21

Es wird nach 707505 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: privat1
Computername: PRIVAT

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 15.03.2007 19:01:15
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 19:01:19
ANTIVIR2.VDF : 6.38.0.75 343552 Bytes 19.03.2007 12:10:28
ANTIVIR3.VDF : 6.38.0.84 20480 Bytes 20.03.2007 12:10:28
AVEWIN32.DLL : 7.3.1.43 2359808 Bytes 15.03.2007 19:01:19
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47
AVREP.DLL : 6.38.0.6 1179688 Bytes 15.03.2007 19:01:19
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.1.6 368680 Bytes 15.03.2007 19:01:20
AVREG.DLL : 7.0.1.2 30760 Bytes 15.03.2007 19:01:15
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00007000

Beginn des Suchlaufs: Mittwoch, 21. März 2007 00:21

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'alicecnn.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Module wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '23' Prozesse mit '23' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 13 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\privat1\Desktop\SmitfraudFix.zip
[0] Archivtyp: ZIP
--> SmitfraudFix/Reboot.exe
[FUND] Enthält Signatur des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix/restart.exe
[FUND] Enthält Signatur des SPR/Tool.Hardoff.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46696e52.qua' verschoben!
C:\WINDOWS\system32\TFTP980
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4654721b.qua' verschoben!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Mittwoch, 21. März 2007 00:56
Benötigte Zeit: 35:04 min

Der Suchlauf wurde vollständig durchgeführt.

1440 Verzeichnisse wurden überprüft
87956 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
87953 Dateien ohne Befall
472 Archive wurden durchsucht
2 Warnungen
0 Hinweise


So neben diesen drei Treffern (kann ich die einfach löschen? Diese Dateien sind derzeit in Quarantäne), habe ich noch was weiteres aufgepürt:

In der Datei 'C:\System Volume Information\_restore{AF3BFB4E-FD9A-4917-90B1-370D7D824BFF}\RP75\A0018767.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/Poebot.R' [WORM/Poebot.R] gefunden.


Diese Datei habe ich einfach gelöscht, doch eine halbe Stunde hatte ich folgende Meldung wieder auf dem Schirm(Ich glaube zwischendurch hatte ich neu gebootet):

In der Datei 'C:\System Volume Information\_restore{AF3BFB4E-FD9A-4917-90B1-370D7D824BFF}\RP75\A0018768.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Ranky.DU' [TR/Proxy.Ranky.DU] gefunden.

So dann hier noch die Logs:

Hijackthis-Log:
Logfile of HijackThis v1.99.1
Scan saved at 23:45:51, on 20.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Filme\Power DVD 6\PDVDServ.exe
D:\Programme\DSL\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\Office\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
D:\PROGRA~1\DSL\FIREFOX\FIREFOX.EXE
C:\Dokumente und Einstellungen\privat1\Desktop\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\privat1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Office\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\Filme\Power DVD 6\PDVDServ.exe"
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Service] C:\WINDOWS\update\wuauclt.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\DSL\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Office\Adobe Reader\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\Office\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{718ED315-65DB-4ED2-AD9D-5A683AA40887}: NameServer = 213.191.74.18 213.191.92.86
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Update Service (UpdateSvc) - Unknown owner - C:\WINDOWS\update\wuauclt.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

combofix:
"privat1" - 07-03-21 0:06:21 Service Pack 1
ComboFix 07-03-20.2 - Running from: "C:\Dokumente und Einstellungen\privat1\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2007-02-21 to 2007-03-21 ))))))))))))))))))))))))))))))))))


2007-03-20 23:10 <DIR> d-------- C:\!KillBox
2007-03-15 19:57 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-15 20:08 -------- d-------- C:\Programme\yahoo!
2007-03-11 00:08 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"RemoteControl"="\"D:\\Programme\\Filme\\Power DVD 6\\PDVDServ.exe\""
"Local Security Authority Service"="C:\\WINDOWS\\System32\\lssas.exe"
"Microsoft (R) Windows Update Service"="C:\\WINDOWS\\update\\wuauclt.exe"
"Zone Labs Client"="\"D:\\Programme\\DSL\\ZoneAlarm\\zlclient.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-21 0:09:00


system32.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5

Verzeichnis von C:\WINDOWS\system32

20.03.2007 23:56 54.112 vsconfig.xml
20.03.2007 13:06 2.206 wpa.dbl
11.03.2007 00:10 10.240 TFTP980
11.03.2007 00:08 4.212 zllictbl.dat
29.10.2006 11:46 380.548 perfh009.dat
29.10.2006 11:46 52.962 perfc009.dat
29.10.2006 11:46 391.244 perfh007.dat
29.10.2006 11:46 63.778 perfc007.dat
29.10.2006 11:46 897.954 PerfStringBackup.INI
23.08.2006 23:38 42.920 vsutil_loc0407.dll
23.08.2006 23:38 392.824 vsdatant.sys
23.08.2006 23:38 83.960 zlcomm.dll
23.08.2006 23:38 71.672 zlcommdb.dll
23.08.2006 23:38 440.312 vsutil.dll
23.08.2006 23:38 100.344 vsxml.dll
23.08.2006 23:38 59.384 vswmi.dll
23.08.2006 23:38 268.280 vspubapi.dll
23.08.2006 23:38 71.672 vsregexp.dll
23.08.2006 23:38 104.440 vsmonapi.dll
23.08.2006 23:38 157.688 vsinit.dll
23.08.2006 23:37 83.960 vsdata.dll
23.08.2006 23:37 796.584 libeay32_0.9.6l.dll
05.04.2006 23:28 7.006 jupdate-1.5.0_06-b05.log


systemp.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5

Verzeichnis von C:\DOKUME~1\privat1\LOKALE~1\Temp

21.03.2007 00:01 16.384 Perflib_Perfdata_37c.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 3.247.431.680 Bytes frei


windows.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5

Verzeichnis von C:\WINDOWS

20.03.2007 23:56 50 wiaservc.log
20.03.2007 23:56 159 wiadebug.log
20.03.2007 23:55 0 0.log
20.03.2007 23:55 2.048 bootstat.dat
20.03.2007 23:54 32.536 SchedLgU.Txt
17.03.2007 21:08 176.256 setupact.log
17.03.2007 21:08 0 setuperr.log
15.03.2007 21:04 122.966 ntbtlog.txt
13.08.2006 16:50 500 win.ini
11.07.2006 17:01 65.056 unTMV.exe
03.07.2006 19:24 2.060 Windows Update.log
23.05.2006 20:43 4.361 mozver.dat
05.04.2006 23:44 1.440 COM+.log
05.04.2006 22:34 107.134 UninstallFirefox.exe
05.04.2006 21:55 4.179 netcfg.log
05.04.2006 20:05 1.028 avmsetup.log
05.04.2006 20:05 25 accessdll.log
25.03.2006 17:58 303 awprotoc.txt
25.03.2006 17:57 61 awerror.txt


temp.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5

Verzeichnis von C:\WINDOWS\Temp

20.03.2007 23:56 256 ZLT07cf6.TMP
20.03.2007 23:56 256 ZLT07cef.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 3.247.411.200 Bytes frei



down.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

31.07.2005 21:35 65 desktop.ini
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 17:52 697 DirectAnimation Java Classes.osd
3 Datei(en) 1.924 Bytes
0 Verzeichnis(se), 3.247.390.720 Bytes frei


c.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5

Verzeichnis von C:\

21.03.2007 00:18 0 sys.txt
21.03.2007 00:18 437 down.txt
21.03.2007 00:16 4.378 system.txt
21.03.2007 00:16 307 systemtemp.txt
21.03.2007 00:16 89.559 system32.txt
21.03.2007 00:09 2.898 ComboFix.txt
20.03.2007 23:55 335.007.744 hiberfil.sys
20.03.2007 23:55 503.316.480 pagefile.sys

16 Datei(en) 838.709.825 Bytes
0 Verzeichnis(se), 3.247.386.624 Bytes frei


So ich hoffe das genügt, falls nicht sagt mir bitte bescheid!

Vielen Dank im voraus

Der Hanson
Dieser Beitrag wurde am 21.03.2007 um 01:12 Uhr von Hanson editiert.
Seitenanfang Seitenende
21.03.2007, 10:33
Moderator

Beiträge: 7805
#2 Im Grunde reicht es, diese Datei zu loeschen:

c:\windows\system32\TFTP980

sowie diesen Ordner:
C:\WINDOWS\update

Dann diese "fixen":

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Service] C:\WINDOWS\update\wuauclt.exe
O23 - Service: Windows Update Service (UpdateSvc) - Unknown owner - C:\WINDOWS\update\wuauclt.exe (file missing)

Dann neu starten und via www.windowsupdate.com dein System auf dem neusten Stand bringen.

Schau bitte, ob du C:\WINDOWS\System32\lssas.exe (genaue Schreibweise beachten!) finden kannst. Wenn ja, bitte melden.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.03.2007, 01:13
...neu hier

Themenstarter

Beiträge: 10
#3 Hi,

habe die Datei & den Ordner gelöscht. Die drei anderen Einträge habe ich gefixt.
Das Update läuft gerade.
Nur leider bist du garnicht auf folgendes eingegangen:

In der Datei 'C:\System Volume Information\_restore{AF3BFB4E-FD9A-4917-90B1-370D7D824BFF}\RP75\A0018767.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/Poebot.R' [WORM/Poebot.R] gefunden.


Diese Datei habe ich einfach gelöscht, doch eine halbe Stunde hatte ich folgende Meldung wieder auf dem Schirm(Ich glaube zwischendurch hatte ich neu gebootet):

In der Datei 'C:\System Volume Information\_restore{AF3BFB4E-FD9A-4917-90B1-370D7D824BFF}\RP75\A0018768.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Ranky.DU' [TR/Proxy.Ranky.DU] gefunden.


Was tue ich damit?

Und danke für die bisherige Hilfe! :-)
Seitenanfang Seitenende
22.03.2007, 01:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Deaktivieren Systemwiederherstellung http://virus-protect.org/systemwiederherstellung.html
__________
MfG Argus
Seitenanfang Seitenende
22.03.2007, 10:14
...neu hier

Themenstarter

Beiträge: 10
#5 o.k. habe ich getan und nun?

edith fragt: Soll ich die A0018768.exe nun einfach löschen?
Seitenanfang Seitenende
22.03.2007, 12:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hanson

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Update Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

UpdateSvc

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Local Security Authority Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2007, 14:30
...neu hier

Themenstarter

Beiträge: 10
#7 Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 22.03.2007 14:25:38 for strings:
; 'windows update service '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 22.03.2007 14:27:28 for strings:
; 'updatesvc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC\0000]
"Service"="UpdateSvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc\Enum]
"0"="Root\\LEGACY_UPDATESVC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdateSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdateSvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATESVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATESVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATESVC\0000]
"Service"="UpdateSvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UpdateSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UpdateSvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATESVC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATESVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATESVC\0000]
"Service"="UpdateSvc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc\Enum]
"0"="Root\\LEGACY_UPDATESVC\\0000"

; End Of The Log...

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 22.03.2007 14:29:06 for strings:
; 'local security authority service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Done :-)

und nochmals danke für die schnellen Antworten!
Seitenanfang Seitenende
22.03.2007, 14:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hanson

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

drivers to unload:
UpdateSvc

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Local Security Authority Service
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft (R) Windows Update Service

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UPDATESVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdateSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATESVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UpdateSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATESVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc

Files to delete:
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\system32\TFTP980

Folders to delete:
C:\WINDOWS\update

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

---------------------------------------------------------------------------

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2007, 22:21
...neu hier

Themenstarter

Beiträge: 10
#9 Habe den Avenger wie angeordnet gestartet, doch er bootete zweimal und spuckte dann folgende Meldung im Editor aus:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qywancpi

*******************


Fatal error: integrity of Services key failed verification check! Security may be fatally compromised. Exiting immediately.

Could not open script file! Status: 0xc0000034 Abort!
Seitenanfang Seitenende
23.03.2007, 10:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
Start -- Ausführen -- regedit (reinschreiben)

oben links - bearbeiten - suchen - UpdateSvc

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UPDATESVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdateSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATESVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UpdateSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATESVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc

----------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Local Security Authority Service
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft (R) Windows Update Service

Files to delete:
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\system32\TFTP980

Folders to delete:
C:\WINDOWS\update
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

------------

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.03.2007, 19:46
...neu hier

Themenstarter

Beiträge: 10
#11 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lincdksc

*******************

Script file located at: \??\C:\WINDOWS\mytvgvef.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\lssas.exe not found!
Deletion of file C:\WINDOWS\System32\lssas.exe failed!

Could not process line:
C:\WINDOWS\System32\lssas.exe
Status: 0xc0000034



File C:\WINDOWS\system32\TFTP980 not found!
Deletion of file C:\WINDOWS\system32\TFTP980 failed!

Could not process line:
C:\WINDOWS\system32\TFTP980
Status: 0xc0000034



Folder C:\WINDOWS\update not found!
Deletion of folder C:\WINDOWS\update failed!

Could not process line:
C:\WINDOWS\update
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Local Security Authority Service
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Local Security Authority Service failed!
Status: 0xc0000034



Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft (R) Windows Update Service
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft (R) Windows Update Service failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
23.03.2007, 19:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.03.2007, 20:00
...neu hier

Themenstarter

Beiträge: 10
#13 DA war ich bei, hat einwenig gedauert! :-)



SDFix: Version 1.74

Run by Administrator - 23.03.2007 - 19:52:24,84

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:





Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




ADS Check:

C:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------


Checking For Files with Hidden Attributes :

C:\Programme\Messenger\msmsgs.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\privat1\Desktop\~WRL0003.tmp
C:\Dokumente und Einstellungen\privat1\Desktop\~WRL0026.tmp
C:\Dokumente und Einstellungen\privat1\Desktop\~WRL0281.tmp
C:\Dokumente und Einstellungen\privat1\Desktop\~WRL1085.tmp
C:\Dokumente und Einstellungen\privat1\Desktop\~WRL1204.tmp
C:\Dokumente und Einstellungen\privat1\Desktop\~WRL1830.tmp
C:\Dokumente und Einstellungen\privat1\Desktop\~WRL2009.tmp
C:\Dokumente und Einstellungen\privat1\Desktop\~WRL2810.tmp
C:\Dokumente und Einstellungen\privat1\Desktop\~WRL2965.tmp

Finished
Seitenanfang Seitenende
23.03.2007, 20:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ;)

im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.03.2007, 20:36
...neu hier

Themenstarter

Beiträge: 10
#15 Sophos Anti-Virus
Version 4.16.0 [Win32/Intel]
Virus data version 4.16, April 2007
Includes detection for 232351 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 20:06:46, System date 23 March 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan


Could not open C:\hiberfil.sys
Could not check C:\WINDOWS\$hf_mig$\KB919007\SP2QFE\rmcast.sys (virus scan failed)
Could not check C:\WINDOWS\system32\dllcache\rmcast.sys (virus scan failed)
Could not check C:\WINDOWS\system32\drivers\rmcast.sys (virus scan failed)
Password protected file D:\Programme\Office\Adobe Reader\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file D:\Programme\Office\Adobe Reader\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file D:\Programme\Office\Adobe Reader\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file D:\Programme\Office\Adobe Reader\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file D:\Programme\Office\Adobe Reader\Reader\Messages\RdrMsgSplash.pdf
Password protected file D:\Programme\Office\Adobe Reader\Reader\WebSearch\WebSearchENU.pdf

2 boot sectors swept.
12374 files swept in 29 minutes and 15 seconds.
10 errors were encountered.
No viruses were discovered.
6 encrypted files were not checked.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: