Viren,Trojaner und Backdoor |
||
---|---|---|
#0
| ||
05.08.2007, 23:47
...neu hier
Beiträge: 9 |
||
|
||
06.08.2007, 08:10
Member
Beiträge: 694 |
#2
Hi,
Du hast ja einen ganzen Zoo auf Deinem Rechner... Windows und Explorer mal updaten! Wir können eine Reinigung versuchen... Also: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
Poste alle Logs... Eine Firewall installieren, was auch immer (ZoneAlarm, Sygate, ...). scanne mit ewido und poste den scanreport http://virus-protect.org/onlinescan.html Chris |
|
|
||
06.08.2007, 14:05
...neu hier
Themenstarter Beiträge: 9 |
#3
Danke erstmal für deine Hilfe hab soweit alles gemacht...
konnte diese Datein zu fixen nicht finden. O4 - HKLM\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe O4 - HKLM\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe evtl hat Avenger die schon bereinigt??? Hier ist der scan von ewido.... immernoch reichlich Viren/Trojaner drauf Es muss doch irgendwie gehen das ich die los werde... Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@2o7[1].txt Risk: Medium Name: TrackingCookie.Adbrite Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adbrite[2].txt Risk: Medium Name: TrackingCookie.71i Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adicqserver.71i[1].txt Risk: Medium Name: TrackingCookie.Adtech Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adtech[1].txt Risk: Medium Name: TrackingCookie.Adtiger Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adtiger[2].txt Risk: Medium Name: TrackingCookie.Advertising Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@advertising[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@ivwbox[2].txt Risk: Medium Name: TrackingCookie.Komtrack Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@komtrack[2].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@sevenoneintermedia.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Netflame Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@ssl-hints.netflame[1].txt Risk: Medium Name: TrackingCookie.Etracker Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@www.etracker[1].txt Risk: Medium Name: Adware.Generic Path: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} Risk: Medium Name: Backdoor.Rbot.com Path: C:\avenger\backup.zip/avenger/scrcons32.exe Risk: High Name: Trojan.Small Path: C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\ihsingv[1].htm Risk: High Name: Trojan.Small Path: C:\emwwi.exe Risk: High Name: Trojan.Small Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP11\A0003837.exe Risk: High Name: Trojan.Small Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP11\A0003838.exe Risk: High Name: Trojan.Small Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP11\A0003844.exe Risk: High Name: Trojan.Small Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP11\A0003846.exe Risk: High Name: Trojan.Small Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP12\A0003847.exe Risk: High Name: Backdoor.Rbot.com Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP12\A0003876.exe Risk: High Hier nochmal meine HijackThis Bericht Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:04:57, on 06.09.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\Versatel\Versatel.exe C:\WINDOWS\System32\wpabaln.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/ O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'Default user') O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54C11CBE-1D23-4EBD-B212-D92B9631635A}: NameServer = 82.144.41.8 62.220.18.8 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing) O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 4090 bytes Hoffe du kannst mir da noch weiterhelfen oder jemand anderes... Danke B |
|
|
||
06.08.2007, 14:42
Member
Beiträge: 694 |
#4
Hi,
wir kommen der Sache näher: Als erstes die Systemwiederherstellung ausschalten: Systemwiederherstellung löschen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da). Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Temporäre Dateien löschen: cleanen - Empty Recycle Bins - Delete Prefetch files - Cleanup! All Users " stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Systemwiederherstellung wieder einschalten (aber erst nach einem Virenlosen fullscan!) KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: C:\emwwi.exe C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\ihsingv[1].htm und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten HJ-Fixen: O4 - HKUS\S-1-5-18\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'Default user') So, jetzt noch einmal einen Fullscan mit EWIDO; Installiere Antivir und stelle es wie folgt ein (dann ebenfalls Fullscan)! Installieren: http://www.free-av.de/ Einstellung: http://board.protecus.de/t23979.htm Die Viren sind in den Backups von Avenger, diese löschen wenn alles richtig läuft! Backups von Avenger&Co löschen: C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren Systemwiederherstellung erst einschalten wenn alles wieder läuft und keine Viren mehr da sind! Dann das gleiche wie oben bei Systemwiederherstellung nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Chris |
|
|
||
06.08.2007, 15:46
...neu hier
Themenstarter Beiträge: 9 |
#5
Ich ma wieder
hab alles so gemacht wie es da stand... Am Anfang sah es auch recht gut aus nach dem EWIDO scan.. Hier der Bericht: __________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@2o7[1].txt Risk: Medium Name: TrackingCookie.Yieldmanager Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@ad.yieldmanager[2].txt Risk: Medium Name: TrackingCookie.71i Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adicqserver.71i[1].txt Risk: Medium Name: TrackingCookie.Adtiger Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adtiger[2].txt Risk: Medium Name: TrackingCookie.Adviva Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adviva[1].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@as-eu.falkag[2].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@ivwbox[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@sevenoneintermedia.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Netflame Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@ssl-hints.netflame[1].txt Risk: Medium Dann hab ich Antivir drüber laufen lassen... und das sah dann nicht so gut aus... Hier der Bericht: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Donnerstag, 6. September 2007 15:34 Es wird nach 1004013 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (plain) [5.1.2600] Benutzername: HohesB Computername: HOHESB-EEZR6GJT Versionsinformationen: BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08 AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18 LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00 LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 13:17:41 ANTIVIR2.VDF : 6.39.0.207 1077248 Bytes 02.08.2007 13:17:41 ANTIVIR3.VDF : 6.39.0.216 93696 Bytes 06.08.2007 13:17:41 AVEWIN32.DLL : 7.4.0.57 2707968 Bytes 06.09.2007 13:17:41 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23 AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 06.09.2007 13:17:41 AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01 AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00 RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Donnerstag, 6. September 2007 15:34 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wpabaln.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'versatel.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SBCSTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMax4PNP.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SBCSSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '28' Prozesse mit '28' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '13' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\yiplfxih.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4750026f.qua' verschoben! C:\Dokumente und Einstellungen\HohesB\Desktop\avenger.zip [0] Archivtyp: ZIP --> avenger.exe [FUND] Enthält Signatur des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47450287.qua' verschoben! C:\Dokumente und Einstellungen\HohesB\Desktop\avenger\avenger.exe [FUND] Enthält Signatur des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47450289.qua' verschoben! C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temp\~DF1EA4.tmp [FUND] Enthält Code des Word-Makrovirus W97M/Shady [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47260259.qua' verschoben! C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temp\~DFF88F.tmp [FUND] Enthält Code des Word-Makrovirus W97M/Shady [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4726025d.qua' verschoben! C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDG30FWF\ncrkdaflr[1].htm [FUND] Ist das Trojanische Pferd TR/Tiny.705 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47520292.qua' verschoben! C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\tvkqjf[1].htm [FUND] Ist das Trojanische Pferd TR/Tiny.705 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '474b02b5.qua' verschoben! C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MFMREX2J\avenger[1].zip [0] Archivtyp: ZIP --> avenger.exe [FUND] Enthält Signatur des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '474502bd.qua' verschoben! C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9M2DMV3\gixqwflek[1].txt [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475802e6.qua' verschoben! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TWR9V9LY\pidemo[1].dat [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '474402f2.qua' verschoben! C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll [FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.NBC [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '474d02f5.qua' verschoben! C:\WINDOWS\system32\xpdx.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'A:\' Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Donnerstag, 6. September 2007 15:40 Benötigte Zeit: 05:35 min Der Suchlauf wurde vollständig durchgeführt. 969 Verzeichnisse wurden überprüft 42454 Dateien wurden geprüft 11 Viren bzw. unerwünschte Programme wurden gefunden 1 davon wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 11 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 42442 Dateien ohne Befall 551 Archive wurden durchsucht 2 Warnungen 0 Hinweise 0 Versteckte Objekte wurden gefunden so natürlich auch wieder HiJackThis.... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:46:06, on 06.09.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\Versatel\Versatel.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wpabaln.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\WINDOWS\System32\notepad.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/ O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54C11CBE-1D23-4EBD-B212-D92B9631635A}: NameServer = 82.144.41.8 62.220.18.8 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing) O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 4513 bytes Hoffe ich mach dich nicht mit meinen Viren verrückt *g* Und du hast noch ein bisschen geduld.... Danke nochma Benni |
|
|
||
06.08.2007, 16:14
Member
Beiträge: 694 |
#6
Hi,
fast alles weg, aber der Hammer kommt noch, der eine Neuinstallation wahrscheinlich macht!!! Da ist ein Rootkit mit hoher Wahrscheinlichkeit aktiv (C:\WINDOWS\system32\xpdx.sys), und das Remote zu entfernen wird nicht funktionieren. Wir setzten mal was Brandneues ein: McAfee Rootkit Detective http://vil.nai.com/vil/stinger/rkstinger.aspx Mit dem musst Du die genannte Datei finden und eleminieren (und alle Hooks die auf sie zeigen)! Versuche das Protokoll abzukopieren und zu posten. Wenn uns das nicht gelingt mit Blacklight: blacklight: http://virus-protect.org/artikel/tools/rootkithook.html Wenn wir das Ding nicht gelöscht bekommen, bleibt nur noch das Booten über Boot-CD und dann über Stick/CD scannen und löschen (dann läuft der Rootkit nicht und kann problemlos gelöscht werden)... Good luck, Chris Ps: Noch eine Idee, Avira hat jetzt auch einen Rootkitscanner, gehe in die Einstellungen und aktiviere ihn und nochmal suchen lasse (nach Rootkits) Auch gmer kann den rootkit wohl finden, wir können versuchen ihn über gmer zu fixen (log poste). Es besteht allerdings die Gefahr, das Dein Windows komplett zerschossen wird! Operation am lebenden Herz Dieser Beitrag wurde am 06.08.2007 um 16:23 Uhr von Chris4You editiert.
|
|
|
||
06.08.2007, 16:28
...neu hier
Themenstarter Beiträge: 9 |
#7
Hi....
Habe jetzt das programm drüber laufen lassen... er hat da einiges gefunden... hab zur Sicherheit noch Blacklight drüber laufen lassen auch nichts mehr gefunden Hab nun die genannte Datei entfernt... und sie wird auch nicht mehr gefunden... Jetzt müssen wir nur noch die letzen trojaner los werden... brauchst du noch irgendein Bericht HiJackThis oder nen scan Bericht??? Gruß Benni Dieser Beitrag wurde am 06.08.2007 um 16:53 Uhr von HohesB editiert.
|
|
|
||
06.08.2007, 16:53
Member
Beiträge: 694 |
#8
Hi,
noch mal ein HJ, nenne die HJ-Exe vorher auf test.com um; Installiere unbedingt eine Firewall, bringe das System auf den neusten Stand. Finden die Virenscanner noch was? chris |
|
|
||
06.08.2007, 17:05
...neu hier
Themenstarter Beiträge: 9 |
#9
Hier der Bericht
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:57:21, on 06.09.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\Versatel\Versatel.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wpabaln.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Trend Micro\HijackThis\test.com.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/ O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54C11CBE-1D23-4EBD-B212-D92B9631635A}: NameServer = 82.144.41.8 62.220.18.8 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing) O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 4356 bytes Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '13' Dateien ). das jetzt von antivir.... Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\Trend Micro\HijackThis\test.com.exe [FUND] Enthält verdächtigen Code: HEUR/Crypted.E [WARNUNG] Die Datei wurde ignoriert. so was muss ich nun noch tun... systemwiederherstellen... noch was??? aber vielen dank erstmal für die super hilfe... Hab echt Respekt davor das jemand sich so gut auskennt ^^ DANKE Gruß Benni |
|
|
||
06.08.2007, 17:29
Member
Beiträge: 694 |
#10
Hi,
sieht gut aus, aber ist das dass ganze Log von Antivir? Backup von Avenger&gelöscht? Dann Firewall installieren, regelmäßig Avira updaten und viel Spaß noch... chris |
|
|
||
06.08.2007, 17:54
...neu hier
Themenstarter Beiträge: 9 |
#11
ja mehr war in dem Bericht nicht drin...
also an Datein die in irgendeiner weise infiziert sind... das Backup von Avenger.... hab jetzt einfach mal suche starten lassen und hab da einfach alles gelöscht was mit Avenger zu tun hatte... C:\Qoobox C:\VundoFix Backups von den beiden hab ich aber nichts gefunden.... Gruß B |
|
|
||
07.08.2007, 17:14
Member
Beiträge: 694 |
||
|
||
ich hab meinen Rechner mindestens schon 5 mal formatiert... aber nichts hilft... dazu werden es im laufe der zeit immer mehr Viren...
Hab zum beispiel vor einer stunde einen Virenscan gemacht dann gerade das gleich nochmal und es sind mehr geworden... über die Trojaner kann ich nichts finden oder stell mich zu blöd an....
Hier ist ma die liste von meinen VirenBericht...
C:\d.exe
Infiziert: Trojan.Horse.AZT
C:\d.exe
Desinfektion fehlgeschlagen
C:\d.exe
Gelöscht
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6X8RU9E5\ddos[1].txt
Infiziert: Trojan.Horse.AZT
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6X8RU9E5\ddos[1].txt
Desinfektion fehlgeschlagen
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6X8RU9E5\ddos[1].txt
Gelöscht
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\idjou[1].htm
Infiziert: Trojan.Horse.AZT
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\idjou[1].htm
Desinfektion fehlgeschlagen
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\idjou[1].htm
Gelöscht
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TWR9V9LY\pidemo[1].dat
Verdächtig: Trojan.Downloader.LoadAdv.B
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TWR9V9LY\pidemo[1].dat
Desinfektion fehlgeschlagen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TWR9V9LY\pidemo[1].dat
Gelöscht
C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003779.exe
Infiziert: Backdoor.Agent.AIZ
C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003779.exe
Gelöscht
C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003780.exe
Infiziert: DeepScan:Generic.Sdbot.5A37D599
C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003780.exe
Desinfektion fehlgeschlagen
C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003780.exe
Gelöscht
C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003806.exe
Infiziert: Trojan.Horse.AZT
C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003806.exe
Desinfektion fehlgeschlagen
C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003806.exe
Gelöscht
C:\WINDOWS\system\msnrav.exe
Infiziert: Backdoor.IRCBot.ABEM
C:\WINDOWS\system\msnrav.exe
Desinfektion fehlgeschlagen
C:\WINDOWS\system\msnrav.exe
Löschung fehlgeschlagen
C:\WINDOWS\system32\ferma12.dll
Infiziert: Trojan.Spy.Banker.CKW
C:\WINDOWS\system32\ferma12.dll
Desinfektion fehlgeschlagen
C:\WINDOWS\system32\ferma12.dll
Löschung fehlgeschlagen
C:\WINDOWS\system32\fertili.dll
Infiziert: Trojan.Spy.Banker.CKW
C:\WINDOWS\system32\fertili.dll
Desinfektion fehlgeschlagen
C:\WINDOWS\system32\fertili.dll
Gelöscht
C:\WINDOWS\system32\wbem\scrcons32.exe
Infiziert: Backdoor.Agent.AIZ
C:\WINDOWS\system32\wbem\scrcons32.exe
Desinfektion fehlgeschlagen
C:\WINDOWS\system32\wbem\scrcons32.exe
Löschung fehlgeschlagen
C:\WINDOWS\wuaucpl.exe
Infiziert: DeepScan:Generic.Sdbot.5A37D599
C:\WINDOWS\wuaucpl.exe
Desinfektion fehlgeschlagen
C:\WINDOWS\wuaucpl.exe
Löschung fehlgeschlagen
Hier noch mein HiJackThis Bericht
Logfile of HijackThis v1.99.1
Scan saved at 21:48:37, on 05.09.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system\msnrav.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\wbem\scrcons32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\HohesB\Desktop\blub\blub.com.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: H - {AB800DA0-CFC9-4bcc-BC3E-DBA1E07002E5} - ferma12.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C11CBE-1D23-4EBD-B212-D92B9631635A}: NameServer = 82.144.41.8 62.220.18.8
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaucpl.exe
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Bitte bitte helft mir ich verzweilfe langsam....
danke im vorraus