C:\windows\prefetch\msmsgs.exe-32066ba5.pf

#1 Hallo,
Ich hatte eine Virus mit Kaspersky endeckt und ihn gelöscht, hätte es vielleicht
nicht machen sollen.
Beim hochfahren macht macht er scanndisc, da etwas fehlt, bleibt dann aber im
2ten Abschnitt stehen.
Ich drücke beim hochfahren eine Taste und es geht ganz mormal hoch.
Wenn er fertig ist bringt er eine meldung aus der Taskleiste.

C:\WINDOWS\Prefetch\MSMSGS.EXE-32066BA5.pf ist beschädigt und nicht lesbar,
bitte scanndisc durführen.

Was kann ich machen, kann mir jemand helfen?

Besteht überhaupt die möglichkeit, das ich scanndisc selber nach dem hochfahren
auswählen kann?

Gruß Otter

#2 Hi Otter,

die gelöschte Datei müsste doch noch in der Quarantäne- bzw. Backup-Sektion von Kaspersky sein.
Stelle die Datei einfach wieder her und poste, was Kaspersky dann beim Scan meldet (Art der Malware und genauer Pfad). Dann kann man ja weiter sehen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 Hallo, ich kenne mich mit dem Kaspersky überhaupt nicht aus.
Unter Backup stehen 7ben Viren, welche datei soll ich da wieder herstellen?.

Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: trojanisches Programm Trojan.Win32.Agent.acw
Infiziert: Adware not-a-virus:AdWare.Win32.Softomate.ab
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: Virus Email-Worm.Win32.Bagle.hd
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is


Gruß Otter

#4 Ohne die Dateinamen und genauen Pfade nutzt diese Info nicht viel!

Am besten Du postest auch gleich mal die Logs von 1. + 3. aus http://board.protecus.de/t23188.htm

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 Hallo, ist das so in Ordnung?

Logfile of HijackThis v1.99.1
Scan saved at 13:32:52, on 29.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\etex ag\speak&win\bin\ETTSengine.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\VO - Bayern\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [FTPUploader] "C:\Programme\ftp-uploader\FTPUploader.exe" /autorun
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ETeX Secure Client.lnk = C:\Programme\ETeX AG\Speak&Win\ETeXSecureClientXP.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Gruß Otter

#6

Zitat

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

Zitat

O4 - HKCU\..\Run: [FTPUploader] "C:\Programme\ftp-uploader\FTPUploader.exe" /autorun

Was sind das ???

der Combofix report fehlt noch

#7 Ja, poste bitte noch den Combofix Report (Punkt 3 im o.g. Link) und auch den vollständigen Inhalt (nicht nur die Virennamen) aus dem Kaspersky-Backup.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#8 Hallo, das mit dem Combofix Report habe ich jetzt schon 2 mal versucht, aber irgentwie ist das zu anstrengent für mein Lappi.

Erstens dauert es ewig, Zweitens läßt sich die Datei grad noch kopieren, aber dann
macht das Teil keinen mugser mehr und es geht nichts mehr.

Hat einer ne idee, werd es aber auch gleich noch mal versuchen.

Gruß Otter

#9 vll. n paar unnötige Prozesse beenden, vll. klappts dann

#10 Jetzt hat´s doch geklappt

"VO - Bayern" - 07-04-30 20:59:55 Service Pack 2
ComboFix 07-04-25.4V - Running from: "C:\Dokumente und Einstellungen\VO - Bayern\Desktop\"


((((((((((((((((((((((((((((((( Files Created from 2007-03-28 to 2007-04-30 ))))))))))))))))))))))))))))))))))


2007-04-30 16:20 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-04-23 23:10 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-04-23 22:54 <DIR> dr-h----- C:\MSOCache
2007-04-23 22:23 178,408 --a------ C:\WINDOWS\system32\muweb.dll
2007-04-23 22:23 128,232 --a------ C:\WINDOWS\system32\mucltui.dll
2007-04-23 21:58 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2007-04-23 21:43 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
2007-04-20 21:31 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-04-20 21:31 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-04-20 21:31 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
2007-04-20 21:30 97,312 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-04-20 21:30 4,815,136 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-04-19 00:46 <DIR> d-------- C:\Programme\TV-Browser
2007-04-19 00:46 <DIR> d-------- C:\DOKUME~1\VO-BAY~1\TV-Browser
2007-04-13 23:40 <DIR> d-------- C:\Mixesoft
2007-04-13 21:21 9,728 -ra------ C:\WINDOWS\system32\SiSPIns2.dll
2007-04-13 21:21 65,536 --------- C:\WINDOWS\system32\SiSHook.dll
2007-04-13 21:21 53,248 -ra------ C:\WINDOWS\system32\SiSPower.dll
2007-04-13 21:21 49,152 -ra------ C:\WINDOWS\system32\SiSBase.dll
2007-04-13 21:21 49,152 -ra------ C:\WINDOWS\InstFunc.exe
2007-04-13 21:21 258,048 -ra------ C:\WINDOWS\system32\SiSParse.dll
2007-04-13 21:21 12,288 -ra------ C:\WINDOWS\InstFunc.dll
2007-04-13 21:21 110,592 --------- C:\WINDOWS\system32\TVMode.dll
2007-04-13 21:20 <DIR> d-------- C:\Programme\SiS VGA Utilities V3.78
2007-04-13 20:57 <DIR> d-------- C:\WINDOWS\SiS
2007-04-13 20:45 135,168 --------- C:\WINDOWS\system32\SiSApCom.dll
2007-04-13 20:45 <DIR> d-------- C:\Programme\SiS VGA Utilities V3.70
2007-04-13 17:49 <DIR> d-------- C:\Programme\sisagp
2007-04-13 17:45 317,952 -ra------ C:\WINDOWS\system32\drivers\sisgrp.sys
2007-04-13 17:09 337,320 -ra------ C:\WINDOWS\difxapi.dll
2007-04-13 17:09 208,896 -ra------ C:\WINDOWS\Progress.exe
2007-04-04 12:26 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-04-04 12:25 <DIR> d-------- C:\KAV
2007-04-04 01:26 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero
2007-04-04 01:20 <DIR> d-------- C:\Programme\AskTBar
2007-04-01 13:45 <DIR> d-------- C:\Programme\MegaSpoof


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-27 16:47 -------- d-------- C:\Programme\emule
2007-04-23 22:44 -------- d-------- C:\Programme\microsoft works
2007-04-23 22:11 561370 --a--c--- C:\WINDOWS\system32\perfh007.dat
2007-04-23 22:11 104738 --a--c--- C:\WINDOWS\system32\perfc007.dat
2007-04-22 21:15 81984 --a------ C:\WINDOWS\system32\bdod.bin
2007-04-17 00:07 89856 --a------ C:\DOKUME~1\VO-BAY~1\ANWEND~1\gdipfontcachev1.dat
2007-04-13 20:45 -------- d--h----- C:\Programme\installshield installation information
2007-03-18 00:16 -------- d-------- C:\Programme\duolabs
2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-14 19:27 972336 --a------ C:\WINDOWS\unrecode.exe
2007-03-14 19:20 133168 --a------ C:\WINDOWS\system32\drivers\imagesrv.sys
2007-03-14 19:20 11568 --a------ C:\WINDOWS\system32\drivers\imagedrv.sys
2007-03-14 19:19 972336 --a------ C:\WINDOWS\unnerobackitup.exe
2007-03-14 19:19 95864 --a------ C:\WINDOWS\system32\neroco.dll
2007-03-12 15:37 -------- d-------- C:\Programme\scm microsystems
2007-03-12 13:51 972336 --a------ C:\WINDOWS\unneromediahome.exe
2007-03-10 23:29 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-10 23:28 -------- d-------- C:\Programme\mozbackup
2007-03-10 02:37 -------- d-------- C:\Programme\trillian
2007-03-10 00:49 -------- d-------- C:\Programme\Gemeinsame Dateien\totem shared
2007-03-10 00:48 -------- d-------- C:\Programme\tvgenial
2007-03-09 23:51 4 --a------ C:\WINDOWS\info147.sys
2007-03-09 19:52 200768 --a------ C:\WINDOWS\system32\klogon.dll
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-03 20:39 110360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-03-02 23:12 -------- d-------- C:\DOKUME~1\VO-BAY~1\ANWEND~1\vlc
2007-03-02 23:11 -------- d-------- C:\Programme\videolan
2007-02-28 20:53 972336 --a------ C:\WINDOWS\unnerovision.exe
2007-02-28 15:41 972336 --a------ C:\WINDOWS\unneroshowtime.exe
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
{9CB65201-89C4-402c-BA80-02D8C59F9B1D} C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb07.exe"
"Ulead AutoDetector"="C:\\Programme\\Ulead Systems\\Ulead Photo Explorer 8.0 SE Basic\\Monitor.exe"
"Arcor Online"=""
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"SiSPower"="Rundll32.exe SiSPower.dll,ModeAgent"
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"FTPUploader"="\"C:\\Programme\\ftp-uploader\\FTPUploader.exe\" /autorun"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-30 21:06:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-30 21:06:53
C:\ComboFix-quarantined-files.txt ... 07-04-30 21:06
C:\ComboFix2.txt ... 07-04-30 18:31
C:\ComboFix3.txt ... 07-04-30 16:20

#11 Stell bitte nochmal die genauen Infos zu den gelöschten datein

Zitat

Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: trojanisches Programm Trojan.Win32.Agent.acw
Infiziert: Adware not-a-virus:AdWare.Win32.Softomate.ab
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: Virus Email-Worm.Win32.Bagle.hd
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is

also den Ort auch, den Zielordner. Dann schaun ma weiter...

#12 Hallo, ich verstehe nicht, was du meinst, das ist sowieso alles vollig neu, was ich hier mache.

Keine Ahnung von der ganzen Materie,soll ich diese Sachen wieder mal alle herstellen?

Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: trojanisches Programm Trojan.Win32.Agent.acw
Infiziert: Adware not-a-virus:AdWare.Win32.Softomate.ab
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: Virus Email-Worm.Win32.Bagle.hd
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is

Bitte um Antwort, aber ich gehe jetzt auf´s Maibaumfest, ein Bier trinken,
also, bis dann

Gruß Otter

#13 hi, nicht wiederherstellen, sondern in den Eigenschaften der Dateien

Zitat

Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: trojanisches Programm Trojan.Win32.Agent.acw
Infiziert: Adware not-a-virus:AdWare.Win32.Softomate.ab
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is
Infiziert: Virus Email-Worm.Win32.Bagle.hd
Infiziert: Adware not-a-virus:AdWare.Win32.Virtumonde.is

den Ursprungsordner raussuchen, das man schaun kann, was wichtig ist...

#14 Hi Otter,

hoffentlich schmerzt der Hangover heute nicht zu sehr!

Was Deine Logs anbetrifft, so sehe ich persönlich nicht etwas wirklich Gefährliches. Kaspersky hat anscheinend gute Arbeit geleistet.
Du kannst auch noch zusätzlich einen Scan mit Cureit machen und das Ergebnis posten.

Es wäre aber auch wichtig, die Namen und die genauen Pfade der Dateien (nicht nur die Namen der Malware!) zu kennen, die Kaspersky gelöscht bzw. in Quarantäne verschoben hat. Im Quarantäne- bzw. Backup-Bereich solltest Du die Informationen finden. Diese bitte vollständig posten.

NeedHelp2007 hat es ja schon angesprochen: die Datei A5SRCHAS.DLL scheint nicht ganz koscher zu sein.
Fixe deshalb mit HijackThis (Häkchen vor den Eintrag setzen und "Fix checked" drücken) diesen Eintrag mal:
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
(HJT legt ein Backup an, so dass man diesen Eintrag notfalls wieder herstellen kann).
Du kannst ja die Datei bei Virustotal überprüfen lassen (Knopf "Suchen" drücken => Datei aussuchen => "Send" drücken) und das Ergebnis posten.

Hast Du das Programm C:\Programme\ftp-uploader\FTPUploader.exe bewusst installiert? Wenn Du das Programm nicht benötigst, dann könntest Du es über Start => Einstellungen => Systemsteuerung => Software deinstallieren.

Lösche die Datei MSMSGS.EXE-32066BA5.pf im Ordner C:\WINDOWS\Prefetch\ und berichte ob die Fehlermeldung beim Hochfahren verschwunden ist.

Was Deine Frage nach ScanDisk anbelangt so verhält es sich folgendermaßen damit: meines Wissens nach funktioniert scandisk unter Windows XP nicht. Mache anstatt ein ChkDsk. Start => Ausführen => cmd eingeben. Es öffnet sich die schwarze DOS-Box. Dort chkdsk c: /f eingeben und enter drücken. Der Datenträger wird auf logische Fehler überprüft und ggf. diese auch repariert.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#15 Hallo, man, Ihr verlangt Sachen von mir.

Ich habe grad wenig Zeit, da ich in die Spätschicht muß.

Die Datei MSMSGS.EXE-32066BA5.pf läßt sich nicht löschen, Meldung, Datei
läßt sich nicht löschen, da beschädigt ist.

Ich denke mal, ich habe auch keinen Virus mehr, habe aber eine Datei gelöscht die
vom System benötigt wird.

Ist es vielleicht möglich Win XP zu reparieren, sodas die Datei wieder in Ordnung
gebracht wird.

Das mit dem Dr.Web werde ich noch machen, langt mir aber die Zeit jetzt nicht
mehr.
Das andere muß ich mir in Ruhe durchlesen.

Also, bis dann

Otter

P.s. Noch was, ich habe das Dr.Web mal angefangen laufen zu lassen.
Das zeigt Dateien an, so wie z.B. AOL oder T-online das benutze ich garnicht.

Gibt es ein Programm, das solche Laichen auffindet, so das man sie löschen kann?

Ansonnsten muß ich das Teil doch irgentwan mal platt machen. Ist halt ein riesen Akt.