Report des Anti Vir Scans

#0
13.04.2008, 21:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo,

1.
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

2.
OTMoveIt
klicken: CleanUp! button
cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

3.
scanne mit avz - poste den report (laut Anleitung)
http://virus-protect.org/artikel/tools/avz.html

4.
Antivirus
http://virus-protect.org/antivirus.html

Heuristik-Einstellung:
Erkennungsstufe "hoch" einstellen - (Expertenmodus anhaken)
scanne im abgesicherten Modus .
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2008, 22:41
Member

Themenstarter

Beiträge: 14
#17 Hi Sabina,
bei Punkt 1 kam erst eine Fehlermeldung bezüglich des Befehls /U. Combofix wurde aber dennoch gelöscht.
bei Punkt 2 kam keine Meldung hinsichtlich rebooten, hab dann einfach manuel neu gestartet.
Die vier verdächtigen Einträge auf der Partition D im avz Report, die mit dem Ordner Miktex zusammenhängen, müssten vom Textverarbeitungsprogramm LaTex stammen, das ich selbst mal installiert hatte
Hier nun der Report vom avz-scanner:





AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 13.04.2008 22:39:07
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.0.2195, Service Pack 4 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
>>>> Probable masking of executable file's name 608 ghoststartservice.exe, real name - GhostStartServi
>>>> Probable masking of executable file's name 1216 ghoststarttrayapp.exe, real name - GhostStartTrayA
>>>> Probable masking of executable file's name 1328 wincinemamgr.exe, real name - WinCinemaMgr.ex
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=06DFA0)
Kernel ntoskrnl.exe found in memory at address 80400000
SDT = 8046DFA0
KiST = 804742B8 (248)
Function NtCreateThread (2E) intercepted (804A89AD->89D352BC), hook not defined
Function NtOpenProcess (6A) intercepted (804A7D22->89D352A8), hook not defined
Function NtOpenThread (6F) intercepted (804BD7E4->89D352AD), hook not defined
Function NtTerminateProcess (E0) intercepted (804A9BF3->89D352B7), hook not defined
Function NtWriteVirtualMemory (F0) intercepted (804A495B->89D352B2), hook not defined
Functions checked: 248, intercepted: 5, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 31
Number of modules loaded: 263
Scanning memory - complete
3. Scanning disks
D:\Programme\MiKTeX 2.6\miktex\bin\ps2pk.exe >>> suspicion for AdvWare.Win32.TTC.c ( 00753E7D 08CD8ABD 0020E154 001DB3D9 163840)
D:\Programme\MiKTeX 2.6\miktex\bin\cef5conv.exe >>> suspicion for Trojan-Dropper.Win32.TopBind ( 0905AC48 07887014 003DF1D0 00000000 17920)
D:\Programme\MiKTeX 2.6\miktex\bin\cefconv.exe >>> suspicion for Trojan-Dropper.Win32.TopBind ( 0929FAE8 07887014 003DF1D0 00000000 17920)
D:\Programme\MiKTeX 2.6\miktex\bin\cefsconv.exe >>> suspicion for Trojan-Dropper.Win32.TopBind ( 08FBFBA6 07887014 003DF1D0 00000000 17920)
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: Alerter (Warndienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: terminal connections to the PC are allowed
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
Checking - complete
Files scanned: 159965, extracted from archives: 143070, malicious software found 0, suspicions - 4
Scanning finished at 13.04.2008 22:51:10
Time of scanning: 00:12:04
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference


und hier der Anti Vir Report:


AntiVir PersonalEdition Classic

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '31' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINDOOF>
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <PLADDE>


Ende des Suchlaufs: Montag, 14. April 2008 00:02
Benötigte Zeit: 53:52 min

Der Suchlauf wurde vollständig durchgeführt.

4934 Verzeichnisse wurden überprüft
196203 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
196203 Dateien ohne Befall
933 Archive wurden durchsucht
1 Warnungen
5 Hinweise
Dieser Beitrag wurde am 14.04.2008 um 00:09 Uhr von Alanin editiert.
Seitenanfang Seitenende
14.04.2008, 10:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 ««
Start - Ausführen - regedit

ändere den Schlüssel "AntiVirusDisableNotify" in 0

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

rechtsklick auf den Eintrag "AntiVirusDisableNotify"


die 1 wegklicken und 0 reinschreiben, dann abspeichern


-----------------------------------------------------------
es müsste wieder alles o.k. sein. ;)
wenn es noch Probleme geben sollte, melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: