Report des Anti Vir Scans |
||
---|---|---|
#0
| ||
13.04.2008, 21:55
Ehrenmitglied
Beiträge: 29434 |
||
|
||
13.04.2008, 22:41
Member
Themenstarter Beiträge: 14 |
#17
Hi Sabina,
bei Punkt 1 kam erst eine Fehlermeldung bezüglich des Befehls /U. Combofix wurde aber dennoch gelöscht. bei Punkt 2 kam keine Meldung hinsichtlich rebooten, hab dann einfach manuel neu gestartet. Die vier verdächtigen Einträge auf der Partition D im avz Report, die mit dem Ordner Miktex zusammenhängen, müssten vom Textverarbeitungsprogramm LaTex stammen, das ich selbst mal installiert hatte Hier nun der Report vom avz-scanner: AVZ Antiviral Toolkit log; AVZ version is 4.30 Scanning started at 13.04.2008 22:39:07 Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09 Heuristic microprograms loaded: 370 SPV microprograms loaded: 9 Digital signatures of system files loaded: 70476 Heuristic analyzer mode: Medium heuristics level Healing mode: enabled Windows version: 5.0.2195, Service Pack 4 ; AVZ is launched with administrator rights System Restore: enabled 1. Searching for Rootkits and programs intercepting API functions >>>> Probable masking of executable file's name 608 ghoststartservice.exe, real name - GhostStartServi >>>> Probable masking of executable file's name 1216 ghoststarttrayapp.exe, real name - GhostStartTrayA >>>> Probable masking of executable file's name 1328 wincinemamgr.exe, real name - WinCinemaMgr.ex 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Analysis: ntdll.dll, export table found in section .text Analysis: user32.dll, export table found in section .text Analysis: advapi32.dll, export table found in section .text Analysis: ws2_32.dll, export table found in section .text Analysis: wininet.dll, export table found in section .text Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=06DFA0) Kernel ntoskrnl.exe found in memory at address 80400000 SDT = 8046DFA0 KiST = 804742B8 (248) Function NtCreateThread (2E) intercepted (804A89AD->89D352BC), hook not defined Function NtOpenProcess (6A) intercepted (804A7D22->89D352A8), hook not defined Function NtOpenThread (6F) intercepted (804BD7E4->89D352AD), hook not defined Function NtTerminateProcess (E0) intercepted (804A9BF3->89D352B7), hook not defined Function NtWriteVirtualMemory (F0) intercepted (804A495B->89D352B2), hook not defined Functions checked: 248, intercepted: 5, restored: 0 1.3 Checking IDT and SYSENTER Analysis for CPU 1 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed Driver loaded successfully 1.5 Checking of IRP handlers Checking - complete 2. Scanning memory Number of processes found: 31 Number of modules loaded: 263 Scanning memory - complete 3. Scanning disks D:\Programme\MiKTeX 2.6\miktex\bin\ps2pk.exe >>> suspicion for AdvWare.Win32.TTC.c ( 00753E7D 08CD8ABD 0020E154 001DB3D9 163840) D:\Programme\MiKTeX 2.6\miktex\bin\cef5conv.exe >>> suspicion for Trojan-Dropper.Win32.TopBind ( 0905AC48 07887014 003DF1D0 00000000 17920) D:\Programme\MiKTeX 2.6\miktex\bin\cefconv.exe >>> suspicion for Trojan-Dropper.Win32.TopBind ( 0929FAE8 07887014 003DF1D0 00000000 17920) D:\Programme\MiKTeX 2.6\miktex\bin\cefsconv.exe >>> suspicion for Trojan-Dropper.Win32.TopBind ( 08FBFBA6 07887014 003DF1D0 00000000 17920) 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) 6. Searching for opened TCP/UDP ports used by malicious programs Checking disabled by user 7. Heuristic system check Checking - complete 8. Searching for vulnerabilities >> Services: potentially dangerous service allowed: Alerter (Warndienst) >> Services: potentially dangerous service allowed: Schedule (Taskplaner) >> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe) > Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)! >> Security: disk drives' autorun is enabled >> Security: administrative shares (C$, D$ ...) are enabled >> Security: anonymous user access is enabled >> Security: terminal connections to the PC are allowed >> Security: sending Remote Assistant queries is enabled Checking - complete 9. Troubleshooting wizard Checking - complete Files scanned: 159965, extracted from archives: 143070, malicious software found 0, suspicions - 4 Scanning finished at 13.04.2008 22:51:10 Time of scanning: 00:12:04 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address http://virusinfo.info conference und hier der Anti Vir Report: AntiVir PersonalEdition Classic Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '31' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <WINDOOF> C:\PAGEFILE.SYS [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <PLADDE> Ende des Suchlaufs: Montag, 14. April 2008 00:02 Benötigte Zeit: 53:52 min Der Suchlauf wurde vollständig durchgeführt. 4934 Verzeichnisse wurden überprüft 196203 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 196203 Dateien ohne Befall 933 Archive wurden durchsucht 1 Warnungen 5 Hinweise Dieser Beitrag wurde am 14.04.2008 um 00:09 Uhr von Alanin editiert.
|
|
|
||
14.04.2008, 10:25
Ehrenmitglied
Beiträge: 29434 |
#18
««
Start - Ausführen - regedit ändere den Schlüssel "AntiVirusDisableNotify" in 0 [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 rechtsklick auf den Eintrag "AntiVirusDisableNotify" die 1 wegklicken und 0 reinschreiben, dann abspeichern ----------------------------------------------------------- es müsste wieder alles o.k. sein. wenn es noch Probleme geben sollte, melde dich. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
1.
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"
2.
OTMoveIt
klicken: CleanUp! button
cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.
3.
scanne mit avz - poste den report (laut Anleitung)
http://virus-protect.org/artikel/tools/avz.html
4.
Antivirus
http://virus-protect.org/antivirus.html
Heuristik-Einstellung:
Erkennungsstufe "hoch" einstellen - (Expertenmodus anhaken)
scanne im abgesicherten Modus .
__________
MfG Sabina
rund um die PC-Sicherheit