Windows Security AlertThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
27.09.2007, 12:50
...neu hier
Beiträge: 5 |
||
 
|
|
|
|
27.09.2007, 13:25
Member
 Beiträge: 694 |
#2
Hi,
online prüfen: C:\WINDOWS\system32\sfci.exe C:\WINDOWS\system32\usmtp.exe virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat C:\WINDOWS\system32\sfci.exePoste das Ergebnis mit Filename. Arbeite auch den Rest von http://board.protecus.de/t23188.htm ab und poste die Logs (HJ haben wir ja schon) sowie logs vom Smithy: scanne mit option 1 und 2 und poste die reporte http://virus-protect.org/artikel/tools/smitfrautfix.html Chris |
|
|
|
|
|
|
27.09.2007, 14:34
...neu hier
Themenstarter Beiträge: 5 |
#3
Smitfrautfix:
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport DNS Server Search Order: 192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{C624740B-7300-4F60-BA7F-6C5F75F118FE}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{C624740B-7300-4F60-BA7F-6C5F75F118FE}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{C624740B-7300-4F60-BA7F-6C5F75F118FE}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End CLEAN: GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport DNS Server Search Order: 192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{C624740B-7300-4F60-BA7F-6C5F75F118FE}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{C624740B-7300-4F60-BA7F-6C5F75F118FE}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{C624740B-7300-4F60-BA7F-6C5F75F118FE}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Virustotal: Datei sfci.exe empfangen 2007.09.27 14:26:18 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 4/32 (12.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.27.0 2007.09.27 - AntiVir 7.6.0.15 2007.09.27 - Authentium 4.93.8 2007.09.27 - Avast 4.7.1043.0 2007.09.26 - AVG 7.5.0.488 2007.09.26 - BitDefender 7.2 2007.09.27 - CAT-QuickHeal 9.00 2007.09.26 (Suspicious) - DNAScan ClamAV 0.91.2 2007.09.26 - DrWeb 4.33 2007.09.27 BACKDOOR.Trojan eSafe 7.0.15.0 2007.09.23 - eTrust-Vet 31.2.5168 2007.09.27 - Ewido 4.0 2007.09.27 - FileAdvisor 1 2007.09.27 - Fortinet 3.11.0.0 2007.09.27 - F-Prot 4.3.2.48 2007.09.26 - F-Secure 6.70.13030.0 2007.09.27 - Ikarus T3.1.1.12 2007.09.27 - Kaspersky 7.0.0.125 2007.09.27 - McAfee 5128 2007.09.26 - Microsoft 1.2803 2007.09.27 - NOD32v2 2554 2007.09.26 - Norman 5.80.02 2007.09.27 - Panda 9.0.0.4 2007.09.27 - Prevx1 V2 2007.09.27 Malware.Gen Rising 19.42.32.00 2007.09.27 - Sophos 4.21.0 2007.09.27 - Sunbelt 2.2.907.0 2007.09.26 - Symantec 10 2007.09.27 - TheHacker 6.2.6.072 2007.09.27 - VBA32 3.12.2.4 2007.09.26 - VirusBuster 4.3.26:9 2007.09.26 - Webwasher-Gateway 6.0.1 2007.09.27 Win32.Malware.gen!92 (suspicious) weitere Informationen File size: 48640 bytes MD5: 83092bce0d8345f5c0df4476fb26254d SHA1: 17c30aed9e58b05fb9776239d997cbf86621cab7 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=5F066A8400294DAFBEE700949584A400E67F0D18 Datei usmtp.exe empfangen 2007.09.27 14:26:33 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 5/32 (15.63%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.27.0 2007.09.27 - AntiVir 7.6.0.15 2007.09.27 - Authentium 4.93.8 2007.09.27 - Avast 4.7.1043.0 2007.09.26 - AVG 7.5.0.488 2007.09.26 Obfustat.QAM BitDefender 7.2 2007.09.27 - CAT-QuickHeal 9.00 2007.09.26 - ClamAV 0.91.2 2007.09.26 - DrWeb 4.33 2007.09.27 - eSafe 7.0.15.0 2007.09.23 Suspicious Trojan/Worm eTrust-Vet 31.2.5168 2007.09.27 - Ewido 4.0 2007.09.27 - FileAdvisor 1 2007.09.27 - Fortinet 3.11.0.0 2007.09.27 - F-Prot 4.3.2.48 2007.09.26 - F-Secure 6.70.13030.0 2007.09.27 - Ikarus T3.1.1.12 2007.09.27 Virus.Win32.Zapchast.DA Kaspersky 7.0.0.125 2007.09.27 - McAfee 5128 2007.09.26 - Microsoft 1.2803 2007.09.27 - NOD32v2 2554 2007.09.26 - Norman 5.80.02 2007.09.27 - Panda 9.0.0.4 2007.09.27 - Prevx1 V2 2007.09.27 Prevx Database Unreachable Rising 19.42.32.00 2007.09.27 - Sophos 4.21.0 2007.09.27 - Sunbelt 2.2.907.0 2007.09.26 - Symantec 10 2007.09.27 Trojan Horse TheHacker 6.2.6.072 2007.09.27 - VBA32 3.12.2.4 2007.09.26 - VirusBuster 4.3.26:9 2007.09.26 - Webwasher-Gateway 6.0.1 2007.09.27 - weitere Informationen File size: 39424 bytes MD5: 1daade7b9f51d5fe5b461a812c888829 SHA1: 60963a6819eec502f03c814dd4d5ca2d63724d80 Datfind: wie lösch ich die 2 dateien? Anhang: datfind.txt Dieser Beitrag wurde am 27.09.2007 um 14:46 Uhr von dangerdlx editiert.
|
|
|
|
|
|
|
27.09.2007, 15:05
Member
Beiträge: 694 |
#4
Hi,
wir kommen der Sache näher; Wahrscheinlich hat sich einiges am 25.09. um 18:58 eingeschlichen... Bevor wir die Killorgie starten, bitte online noch mal prüfen: C:\WINDOWS\sv.exe C:\WINDOWS\runsql.exe C:\WINDOWS\svzip.exe C:\WINDOWS\svhoster.exe (Zumindest das letzte könnte das hier sein: http://spywarefiles.prevx.com/RRDGCJ43158368/SVHOSTER.EXE.html) Poste die Reports... Ich will wissen ob und wie sie gestartet werden, daher: Loadingpoints von Programmen. Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Chris |
|
|
|
|
|
|
27.09.2007, 15:23
...neu hier
Themenstarter Beiträge: 5 |
#5
Hier die Onlinechecks:
Datei svzip.exe empfangen 2007.09.27 15:16:22 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 4/32 (12.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 48 und 68 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.28.0 2007.09.27 - AntiVir 7.6.0.15 2007.09.27 - Authentium 4.93.8 2007.09.27 - Avast 4.7.1043.0 2007.09.26 - AVG 7.5.0.488 2007.09.27 Obfustat.QAN BitDefender 7.2 2007.09.27 - CAT-QuickHeal 9.00 2007.09.27 - ClamAV 0.91.2 2007.09.26 - DrWeb 4.33 2007.09.27 - eSafe 7.0.15.0 2007.09.23 Suspicious Trojan/Worm eTrust-Vet 31.2.5168 2007.09.27 - Ewido 4.0 2007.09.27 - FileAdvisor 1 2007.09.27 - Fortinet 3.11.0.0 2007.09.27 - F-Prot 4.3.2.48 2007.09.26 - F-Secure 6.70.13030.0 2007.09.27 - Ikarus T3.1.1.12 2007.09.27 Virus.Win32.Zapchast.DA Kaspersky 7.0.0.125 2007.09.27 - McAfee 5128 2007.09.26 - Microsoft 1.2803 2007.09.27 - NOD32v2 2554 2007.09.26 - Norman 5.80.02 2007.09.27 - Panda 9.0.0.4 2007.09.27 - Prevx1 V2 2007.09.27 Malware.Gen Rising 19.42.32.00 2007.09.27 - Sophos 4.21.0 2007.09.27 - Sunbelt 2.2.907.0 2007.09.26 - Symantec 10 2007.09.27 - TheHacker 6.2.6.072 2007.09.27 - VBA32 3.12.2.4 2007.09.26 - VirusBuster 4.3.26:9 2007.09.26 - Webwasher-Gateway 6.0.1 2007.09.27 - weitere Informationen File size: 202752 bytes MD5: db77a462fd0764285505a03a3bdcdc81 SHA1: 6856593e21669f31ec813139469f216c108829c2 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=7DBD57D7002357CB189903E463A884007279A7F1 Datei runsql.exe empfangen 2007.09.27 15:16:07 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 4/32 (12.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.28.0 2007.09.27 - AntiVir 7.6.0.15 2007.09.27 - Authentium 4.93.8 2007.09.27 - Avast 4.7.1043.0 2007.09.26 - AVG 7.5.0.488 2007.09.27 Obfustat.QJD BitDefender 7.2 2007.09.27 - CAT-QuickHeal 9.00 2007.09.27 - ClamAV 0.91.2 2007.09.26 - DrWeb 4.33 2007.09.27 - eSafe 7.0.15.0 2007.09.23 Suspicious Trojan/Worm eTrust-Vet 31.2.5168 2007.09.27 - Ewido 4.0 2007.09.27 - FileAdvisor 1 2007.09.27 - Fortinet 3.11.0.0 2007.09.27 - F-Prot 4.3.2.48 2007.09.26 - F-Secure 6.70.13030.0 2007.09.27 - Ikarus T3.1.1.12 2007.09.27 Virus.Win32.Zapchast.DA Kaspersky 7.0.0.125 2007.09.27 - McAfee 5128 2007.09.26 - Microsoft 1.2803 2007.09.27 - NOD32v2 2554 2007.09.26 - Norman 5.80.02 2007.09.27 - Panda 9.0.0.4 2007.09.27 - Prevx1 V2 2007.09.27 Trojan.Nudos Rising 19.42.32.00 2007.09.27 - Sophos 4.21.0 2007.09.27 - Sunbelt 2.2.907.0 2007.09.26 - Symantec 10 2007.09.27 - TheHacker 6.2.6.072 2007.09.27 - VBA32 3.12.2.4 2007.09.26 - VirusBuster 4.3.26:9 2007.09.26 - Webwasher-Gateway 6.0.1 2007.09.27 - weitere Informationen File size: 201728 bytes MD5: 0e0c4a058ad8435a0d559b2f045299cc SHA1: 7fbf3d52ee0f32bacdc3244ce0a8bf26948279bc Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=B24A836C005E26C0143B03EBD463DA0088BF7B50 Datei svhoster.exe empfangen 2007.09.27 15:16:35 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 5/32 (15.63%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 10. Geschätzte Startzeit is zwischen 78 und 112 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.28.0 2007.09.27 - AntiVir 7.6.0.15 2007.09.27 - Authentium 4.93.8 2007.09.27 - Avast 4.7.1043.0 2007.09.26 - AVG 7.5.0.488 2007.09.27 Obfustat.QKN BitDefender 7.2 2007.09.27 - CAT-QuickHeal 9.00 2007.09.27 - ClamAV 0.91.2 2007.09.26 - DrWeb 4.33 2007.09.27 - eSafe 7.0.15.0 2007.09.23 Suspicious Trojan/Worm eTrust-Vet 31.2.5168 2007.09.27 - Ewido 4.0 2007.09.27 - FileAdvisor 1 2007.09.27 - Fortinet 3.11.0.0 2007.09.27 - F-Prot 4.3.2.48 2007.09.26 - F-Secure 6.70.13030.0 2007.09.27 - Ikarus T3.1.1.12 2007.09.27 Virus.Win32.Zapchast.DA Kaspersky 7.0.0.125 2007.09.27 - McAfee 5128 2007.09.26 - Microsoft 1.2803 2007.09.27 - NOD32v2 2554 2007.09.26 - Norman 5.80.02 2007.09.27 - Panda 9.0.0.4 2007.09.27 - Prevx1 V2 2007.09.27 Malware.Gen Rising 19.42.32.00 2007.09.27 - Sophos 4.21.0 2007.09.27 - Sunbelt 2.2.907.0 2007.09.26 - Symantec 10 2007.09.27 - TheHacker 6.2.6.072 2007.09.27 - VBA32 3.12.2.4 2007.09.26 - VirusBuster 4.3.26:9 2007.09.26 - Webwasher-Gateway 6.0.1 2007.09.27 Win32.NewMalware.XS!201216 weitere Informationen File size: 201216 bytes MD5: 6695ebb5a5c48fa7e866b090b9d2af0a SHA1: 0d152536400986a1f7ed1f8ff9086218e5d0d562 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=9F0B630A0042F17F126E03860EE39800F1FB0DAC Datei sv.exe empfangen 2007.09.27 15:15:44 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 4/32 (12.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.28.0 2007.09.27 - AntiVir 7.6.0.15 2007.09.27 - Authentium 4.93.8 2007.09.27 - Avast 4.7.1043.0 2007.09.26 - AVG 7.5.0.488 2007.09.27 Obfustat.QKQ BitDefender 7.2 2007.09.27 - CAT-QuickHeal 9.00 2007.09.27 - ClamAV 0.91.2 2007.09.26 - DrWeb 4.33 2007.09.27 - eSafe 7.0.15.0 2007.09.23 Suspicious Trojan/Worm eTrust-Vet 31.2.5168 2007.09.27 - Ewido 4.0 2007.09.27 - FileAdvisor 1 2007.09.27 - Fortinet 3.11.0.0 2007.09.27 - F-Prot 4.3.2.48 2007.09.26 - F-Secure 6.70.13030.0 2007.09.27 - Ikarus T3.1.1.12 2007.09.27 Virus.Win32.Zapchast.DA Kaspersky 7.0.0.125 2007.09.27 - McAfee 5128 2007.09.26 - Microsoft 1.2803 2007.09.27 - NOD32v2 2554 2007.09.26 - Norman 5.80.02 2007.09.27 - Panda 9.0.0.4 2007.09.27 - Prevx1 V2 2007.09.27 Malware.Gen Rising 19.42.32.00 2007.09.27 - Sophos 4.21.0 2007.09.27 - Sunbelt 2.2.907.0 2007.09.26 - Symantec 10 2007.09.27 - TheHacker 6.2.6.072 2007.09.27 - VBA32 3.12.2.4 2007.09.26 - VirusBuster 4.3.26:9 2007.09.26 - Webwasher-Gateway 6.0.1 2007.09.27 - weitere Informationen File size: 202240 bytes MD5: 4e73ad233b3a958d4ce63124f0174013 SHA1: 51c516f997d1c3408f685eeb78a09eb1dcb4dca8 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=0D85949B008206A4162603E70E445B00FB2EF3FC UND DIE Silentrunnersdatei: |
|
|
|
|
|
|
27.09.2007, 15:51
Member
Beiträge: 694 |
#6
Hmm,
wird nicht eindeutig erkannt und im Silentrunner ist nichts zu finden... (was nicht unbedingt was heißen muss...). Es besteht also eine gewisse "Unsicherheit", d. h. es kann zu Problemen kommen falls es doch korrekte Windows bzw. App.-Teile sind. Wir löschen die Teile mit der Killbox (die erstellt Backups): http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: C:\WINDOWS\sv.exe C:\WINDOWS\runsql.exe C:\WINDOWS\svzip.exe C:\WINDOWS\svhoster.exe C:\WINDOWS\system32\sfci.exe C:\WINDOWS\system32\usmtp.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten Ein Backup der Dateien steht bei Bedarf unter C:\!Killbox. Falls etwas nicht mehr tut etc. an die entsprechende Stelle zurückkopieren... Überprüfe mit der Killbox (unter Tools) das Hostsfile, es sollte ein Eintrag wie: 127.0.0.1 localhost (oder IP des Routers 192.168.2.1 etc. erscheinen) Falls Du Dir unsicher bist, Eintrag posten... Falls alles noch läuft die Eitnräge mit HJ-fixen: Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein!) Zitat
chris |
|
|
|
|
|
|
27.09.2007, 16:20
...neu hier
Themenstarter Beiträge: 5 |
#7
Es scheint zu funktionieren :-)
Dank dir für deine Mühen und n dicken Kuss kriegst wenn du willst O.O :-D |
|
|
|
|
|
|
27.09.2007, 16:27
Member
Beiträge: 694 |
#8
Hi,
pack das C:\!Killbox-Backupverzeichnis und verwahre es an einem sicheren Ort, falls Du doch noch mal was brauchen solltest (und die Exen nicht ausführen :o)... Danach Verzeichnis löschen und Papierkorb leeren... Chris |
|
|
|
|
|
|
27.09.2007, 19:55
...neu hier
Themenstarter Beiträge: 5 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
- » Windows Security Alert, Spyware Alert: Security Warning! Trojan.W32.Looksky dete
- » windows security alert, spyware alert, 3 symbole auf desktop und in favoriten
- » Spyware Alert und Windows Security Alert wie kann ich das weg machen?
- » Spyware Alert und Windows Security Alert wie bekomm ich das weg?
- » Spy Emergency - Windows Security Alert & Windows has detected spyware infection!
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Bekomme seit 2 Tagen alle 10-15 Minuten die Meldung über Windows Security Alert. Alles schon versucht, mit allen möglichen Programmen,Antivir etc. Auch die vorhandenen Post halfen nicht.
Pls help:-)
Hier der Hijack log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:50:29, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sfci.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - https://www.wiso-sparbuch.de/wiso/Download/wficat.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1190886224453
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Ati HotKey Poller AtiFastUserSwitchingCompatibility (AtiFastUserSwitchingCompatibility) - Unknown owner - C:\WINDOWS\system32\usmtp.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Leistungsdatenprotokolle und Warnungen SysmonLogEventSystem (SysmonLogEventSystem) - Unknown owner - C:\WINDOWS\system32\sfci.exe
--
End of file - 5987 bytes