Diverse Viren (4 Treffer mit Avira Antivir) |
||
---|---|---|
#0
| ||
21.03.2007, 01:07
...neu hier
Beiträge: 10 |
||
|
||
21.03.2007, 10:33
Moderator
Beiträge: 7805 |
#2
Im Grunde reicht es, diese Datei zu loeschen:
c:\windows\system32\TFTP980 sowie diesen Ordner: C:\WINDOWS\update Dann diese "fixen": O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe O4 - HKLM\..\Run: [Microsoft (R) Windows Update Service] C:\WINDOWS\update\wuauclt.exe O23 - Service: Windows Update Service (UpdateSvc) - Unknown owner - C:\WINDOWS\update\wuauclt.exe (file missing) Dann neu starten und via www.windowsupdate.com dein System auf dem neusten Stand bringen. Schau bitte, ob du C:\WINDOWS\System32\lssas.exe (genaue Schreibweise beachten!) finden kannst. Wenn ja, bitte melden. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.03.2007, 01:13
...neu hier
Themenstarter Beiträge: 10 |
#3
Hi,
habe die Datei & den Ordner gelöscht. Die drei anderen Einträge habe ich gefixt. Das Update läuft gerade. Nur leider bist du garnicht auf folgendes eingegangen: In der Datei 'C:\System Volume Information\_restore{AF3BFB4E-FD9A-4917-90B1-370D7D824BFF}\RP75\A0018767.exe' wurde ein Virus oder unerwünschtes Programm 'Worm/Poebot.R' [WORM/Poebot.R] gefunden. Diese Datei habe ich einfach gelöscht, doch eine halbe Stunde hatte ich folgende Meldung wieder auf dem Schirm(Ich glaube zwischendurch hatte ich neu gebootet): In der Datei 'C:\System Volume Information\_restore{AF3BFB4E-FD9A-4917-90B1-370D7D824BFF}\RP75\A0018768.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Ranky.DU' [TR/Proxy.Ranky.DU] gefunden. Was tue ich damit? Und danke für die bisherige Hilfe! :-) |
|
|
||
22.03.2007, 01:34
Ehrenmitglied
Beiträge: 6028 |
#4
Deaktivieren Systemwiederherstellung http://virus-protect.org/systemwiederherstellung.html
__________ MfG Argus |
|
|
||
22.03.2007, 10:14
...neu hier
Themenstarter Beiträge: 10 |
||
|
||
22.03.2007, 12:37
Ehrenmitglied
Beiträge: 29434 |
#6
Hanson
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Windows Update Service in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) UpdateSvc in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) Local Security Authority Service in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2007, 14:30
...neu hier
Themenstarter Beiträge: 10 |
#7
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 22.03.2007 14:25:38 for strings: ; 'windows update service ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 22.03.2007 14:27:28 for strings: ; 'updatesvc' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC\0000] "Service"="UpdateSvc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc\Enum] "0"="Root\\LEGACY_UPDATESVC\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdateSvc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdateSvc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATESVC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATESVC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATESVC\0000] "Service"="UpdateSvc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UpdateSvc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UpdateSvc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATESVC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATESVC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATESVC\0000] "Service"="UpdateSvc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc\Enum] "0"="Root\\LEGACY_UPDATESVC\\0000" ; End Of The Log... xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 22.03.2007 14:29:06 for strings: ; 'local security authority service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Done :-) und nochmals danke für die schnellen Antworten! |
|
|
||
22.03.2007, 14:42
Ehrenmitglied
Beiträge: 29434 |
#8
Hanson
Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat drivers to unload:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten --------------------------------------------------------------------------- «« http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2007, 22:21
...neu hier
Themenstarter Beiträge: 10 |
#9
Habe den Avenger wie angeordnet gestartet, doch er bootete zweimal und spuckte dann folgende Meldung im Editor aus:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\qywancpi ******************* Fatal error: integrity of Services key failed verification check! Security may be fatally compromised. Exiting immediately. Could not open script file! Status: 0xc0000034 Abort! |
|
|
||
23.03.2007, 10:02
Ehrenmitglied
Beiträge: 29434 |
#10
««
Start -- Ausführen -- regedit (reinschreiben) oben links - bearbeiten - suchen - UpdateSvc Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_UPDATESVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UpdateSvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_UPDATESVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UpdateSvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_UPDATESVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UpdateSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATESVC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UpdateSvc ---------------------------------------------------------------- Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ------------ «« http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2007, 19:46
...neu hier
Themenstarter Beiträge: 10 |
#11
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\lincdksc ******************* Script file located at: \??\C:\WINDOWS\mytvgvef.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\System32\lssas.exe not found! Deletion of file C:\WINDOWS\System32\lssas.exe failed! Could not process line: C:\WINDOWS\System32\lssas.exe Status: 0xc0000034 File C:\WINDOWS\system32\TFTP980 not found! Deletion of file C:\WINDOWS\system32\TFTP980 failed! Could not process line: C:\WINDOWS\system32\TFTP980 Status: 0xc0000034 Folder C:\WINDOWS\update not found! Deletion of folder C:\WINDOWS\update failed! Could not process line: C:\WINDOWS\update Status: 0xc0000034 Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Local Security Authority Service Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Local Security Authority Service failed! Status: 0xc0000034 Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft (R) Windows Update Service Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Microsoft (R) Windows Update Service failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. |
|
|
||
23.03.2007, 19:54
Ehrenmitglied
Beiträge: 29434 |
#12
««
http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2007, 20:00
...neu hier
Themenstarter Beiträge: 10 |
#13
DA war ich bei, hat einwenig gedauert! :-)
SDFix: Version 1.74 Run by Administrator - 23.03.2007 - 19:52:24,84 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found... ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Checking For Files with Hidden Attributes : C:\Programme\Messenger\msmsgs.exe C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\privat1\Desktop\~WRL0003.tmp C:\Dokumente und Einstellungen\privat1\Desktop\~WRL0026.tmp C:\Dokumente und Einstellungen\privat1\Desktop\~WRL0281.tmp C:\Dokumente und Einstellungen\privat1\Desktop\~WRL1085.tmp C:\Dokumente und Einstellungen\privat1\Desktop\~WRL1204.tmp C:\Dokumente und Einstellungen\privat1\Desktop\~WRL1830.tmp C:\Dokumente und Einstellungen\privat1\Desktop\~WRL2009.tmp C:\Dokumente und Einstellungen\privat1\Desktop\~WRL2810.tmp C:\Dokumente und Einstellungen\privat1\Desktop\~WRL2965.tmp Finished |
|
|
||
23.03.2007, 20:02
Ehrenmitglied
Beiträge: 29434 |
#14
im Normalmodus http://virus-protect.org/artikel/tools/sdfix.html RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen - waehle 6 - scanne und poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2007, 20:36
...neu hier
Themenstarter Beiträge: 10 |
#15
Sophos Anti-Virus
Version 4.16.0 [Win32/Intel] Virus data version 4.16, April 2007 Includes detection for 232351 viruses, trojans and worms Copyright (c) 1989-2007 Sophos Plc, www.sophos.com System time 20:06:46, System date 23 March 2007 Command line qualifiers are: -f -remove -nc -nb --stop-scan Could not open C:\hiberfil.sys Could not check C:\WINDOWS\$hf_mig$\KB919007\SP2QFE\rmcast.sys (virus scan failed) Could not check C:\WINDOWS\system32\dllcache\rmcast.sys (virus scan failed) Could not check C:\WINDOWS\system32\drivers\rmcast.sys (virus scan failed) Password protected file D:\Programme\Office\Adobe Reader\Reader\Messages\DEU\RdrMsgDEU.pdf Password protected file D:\Programme\Office\Adobe Reader\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf Password protected file D:\Programme\Office\Adobe Reader\Reader\Messages\ENU\RdrMsgENU.pdf Password protected file D:\Programme\Office\Adobe Reader\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf Password protected file D:\Programme\Office\Adobe Reader\Reader\Messages\RdrMsgSplash.pdf Password protected file D:\Programme\Office\Adobe Reader\Reader\WebSearch\WebSearchENU.pdf 2 boot sectors swept. 12374 files swept in 29 minutes and 15 seconds. 10 errors were encountered. No viruses were discovered. 6 encrypted files were not checked. Ending Sophos Anti-Virus. |
|
|
||
Avira Antivir ist derzeit die aktuellste Version und ist nach euren "verschärften" Einstellungen konfiguriert.
Hier der letzte Report:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 21. März 2007 00:21
Es wird nach 707505 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: privat1
Computername: PRIVAT
Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 15.03.2007 19:01:15
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 19:01:19
ANTIVIR2.VDF : 6.38.0.75 343552 Bytes 19.03.2007 12:10:28
ANTIVIR3.VDF : 6.38.0.84 20480 Bytes 20.03.2007 12:10:28
AVEWIN32.DLL : 7.3.1.43 2359808 Bytes 15.03.2007 19:01:19
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47
AVREP.DLL : 6.38.0.6 1179688 Bytes 15.03.2007 19:01:19
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.1.6 368680 Bytes 15.03.2007 19:01:20
AVREG.DLL : 7.0.1.2 30760 Bytes 15.03.2007 19:01:15
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00007000
Beginn des Suchlaufs: Mittwoch, 21. März 2007 00:21
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'alicecnn.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Module wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '23' Prozesse mit '23' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 13 Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\privat1\Desktop\SmitfraudFix.zip
[0] Archivtyp: ZIP
--> SmitfraudFix/Reboot.exe
[FUND] Enthält Signatur des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix/restart.exe
[FUND] Enthält Signatur des SPR/Tool.Hardoff.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46696e52.qua' verschoben!
C:\WINDOWS\system32\TFTP980
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4654721b.qua' verschoben!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.
Ende des Suchlaufs: Mittwoch, 21. März 2007 00:56
Benötigte Zeit: 35:04 min
Der Suchlauf wurde vollständig durchgeführt.
1440 Verzeichnisse wurden überprüft
87956 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
87953 Dateien ohne Befall
472 Archive wurden durchsucht
2 Warnungen
0 Hinweise
So neben diesen drei Treffern (kann ich die einfach löschen? Diese Dateien sind derzeit in Quarantäne), habe ich noch was weiteres aufgepürt:
In der Datei 'C:\System Volume Information\_restore{AF3BFB4E-FD9A-4917-90B1-370D7D824BFF}\RP75\A0018767.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/Poebot.R' [WORM/Poebot.R] gefunden.
Diese Datei habe ich einfach gelöscht, doch eine halbe Stunde hatte ich folgende Meldung wieder auf dem Schirm(Ich glaube zwischendurch hatte ich neu gebootet):
In der Datei 'C:\System Volume Information\_restore{AF3BFB4E-FD9A-4917-90B1-370D7D824BFF}\RP75\A0018768.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Ranky.DU' [TR/Proxy.Ranky.DU] gefunden.
So dann hier noch die Logs:
Hijackthis-Log:
Logfile of HijackThis v1.99.1
Scan saved at 23:45:51, on 20.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Filme\Power DVD 6\PDVDServ.exe
D:\Programme\DSL\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\Office\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
D:\PROGRA~1\DSL\FIREFOX\FIREFOX.EXE
C:\Dokumente und Einstellungen\privat1\Desktop\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\privat1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Office\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\Filme\Power DVD 6\PDVDServ.exe"
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Service] C:\WINDOWS\update\wuauclt.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\DSL\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Office\Adobe Reader\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\Office\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{718ED315-65DB-4ED2-AD9D-5A683AA40887}: NameServer = 213.191.74.18 213.191.92.86
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Update Service (UpdateSvc) - Unknown owner - C:\WINDOWS\update\wuauclt.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
combofix:
"privat1" - 07-03-21 0:06:21 Service Pack 1
ComboFix 07-03-20.2 - Running from: "C:\Dokumente und Einstellungen\privat1\Desktop"
((((((((((((((((((((((((((((((( Files Created from 2007-02-21 to 2007-03-21 ))))))))))))))))))))))))))))))))))
2007-03-20 23:10 <DIR> d-------- C:\!KillBox
2007-03-15 19:57 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-03-15 20:08 -------- d-------- C:\Programme\yahoo!
2007-03-11 00:08 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"RemoteControl"="\"D:\\Programme\\Filme\\Power DVD 6\\PDVDServ.exe\""
"Local Security Authority Service"="C:\\WINDOWS\\System32\\lssas.exe"
"Microsoft (R) Windows Update Service"="C:\\WINDOWS\\update\\wuauclt.exe"
"Zone Labs Client"="\"D:\\Programme\\DSL\\ZoneAlarm\\zlclient.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
********************************************************************
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-03-21 0:09:00
system32.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5
Verzeichnis von C:\WINDOWS\system32
20.03.2007 23:56 54.112 vsconfig.xml
20.03.2007 13:06 2.206 wpa.dbl
11.03.2007 00:10 10.240 TFTP980
11.03.2007 00:08 4.212 zllictbl.dat
29.10.2006 11:46 380.548 perfh009.dat
29.10.2006 11:46 52.962 perfc009.dat
29.10.2006 11:46 391.244 perfh007.dat
29.10.2006 11:46 63.778 perfc007.dat
29.10.2006 11:46 897.954 PerfStringBackup.INI
23.08.2006 23:38 42.920 vsutil_loc0407.dll
23.08.2006 23:38 392.824 vsdatant.sys
23.08.2006 23:38 83.960 zlcomm.dll
23.08.2006 23:38 71.672 zlcommdb.dll
23.08.2006 23:38 440.312 vsutil.dll
23.08.2006 23:38 100.344 vsxml.dll
23.08.2006 23:38 59.384 vswmi.dll
23.08.2006 23:38 268.280 vspubapi.dll
23.08.2006 23:38 71.672 vsregexp.dll
23.08.2006 23:38 104.440 vsmonapi.dll
23.08.2006 23:38 157.688 vsinit.dll
23.08.2006 23:37 83.960 vsdata.dll
23.08.2006 23:37 796.584 libeay32_0.9.6l.dll
05.04.2006 23:28 7.006 jupdate-1.5.0_06-b05.log
systemp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5
Verzeichnis von C:\DOKUME~1\privat1\LOKALE~1\Temp
21.03.2007 00:01 16.384 Perflib_Perfdata_37c.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 3.247.431.680 Bytes frei
windows.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5
Verzeichnis von C:\WINDOWS
20.03.2007 23:56 50 wiaservc.log
20.03.2007 23:56 159 wiadebug.log
20.03.2007 23:55 0 0.log
20.03.2007 23:55 2.048 bootstat.dat
20.03.2007 23:54 32.536 SchedLgU.Txt
17.03.2007 21:08 176.256 setupact.log
17.03.2007 21:08 0 setuperr.log
15.03.2007 21:04 122.966 ntbtlog.txt
13.08.2006 16:50 500 win.ini
11.07.2006 17:01 65.056 unTMV.exe
03.07.2006 19:24 2.060 Windows Update.log
23.05.2006 20:43 4.361 mozver.dat
05.04.2006 23:44 1.440 COM+.log
05.04.2006 22:34 107.134 UninstallFirefox.exe
05.04.2006 21:55 4.179 netcfg.log
05.04.2006 20:05 1.028 avmsetup.log
05.04.2006 20:05 25 accessdll.log
25.03.2006 17:58 303 awprotoc.txt
25.03.2006 17:57 61 awerror.txt
temp.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5
Verzeichnis von C:\WINDOWS\Temp
20.03.2007 23:56 256 ZLT07cf6.TMP
20.03.2007 23:56 256 ZLT07cef.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 3.247.411.200 Bytes frei
down.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5
Verzeichnis von C:\WINDOWS\Downloaded Program Files
31.07.2005 21:35 65 desktop.ini
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 17:52 697 DirectAnimation Java Classes.osd
3 Datei(en) 1.924 Bytes
0 Verzeichnis(se), 3.247.390.720 Bytes frei
c.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BCF8-3BF5
Verzeichnis von C:\
21.03.2007 00:18 0 sys.txt
21.03.2007 00:18 437 down.txt
21.03.2007 00:16 4.378 system.txt
21.03.2007 00:16 307 systemtemp.txt
21.03.2007 00:16 89.559 system32.txt
21.03.2007 00:09 2.898 ComboFix.txt
20.03.2007 23:55 335.007.744 hiberfil.sys
20.03.2007 23:55 503.316.480 pagefile.sys
16 Datei(en) 838.709.825 Bytes
0 Verzeichnis(se), 3.247.386.624 Bytes frei
So ich hoffe das genügt, falls nicht sagt mir bitte bescheid!
Vielen Dank im voraus
Der Hanson