Report des Anti Vir Scans |
||
---|---|---|
#0
| ||
06.04.2008, 17:02
Member
Beiträge: 14 |
||
|
||
06.04.2008, 17:33
Member
Beiträge: 33 |
#2
Bei einem ZBiot kannst Du nur eins machen: Den Rechner neu Aufsetzen und schnell alle Passwörter ändern und, falls OnlineBanking betrieben wurde, die Konten prüfen.
|
|
|
||
06.04.2008, 18:31
Member
Themenstarter Beiträge: 14 |
#3
Hallo BataAlexander,
hast du dem Bericht etwas bestimmtes entnehmen können? (Bin nämlich kein Computer Experte). Weshalb sind Reperaturversuche deiner Meinung nach hier zwecklos? bzw. warum können die Dateien nicht gelöscht werden? ...das letzte online banking wurde definitiv vor dem Befall des Rechners durchgeführt, seit dem natürlich nicht mehr! Besteht hier trotzdem eine Gefahr? Dieser Beitrag wurde am 06.04.2008 um 18:35 Uhr von Alanin editiert.
|
|
|
||
06.04.2008, 18:41
Member
Beiträge: 33 |
#4
In Deinem Log habe ich, wie geschrieben, einen ZBot gesehen.
Das sind die Dateien Zitat • %SYSDIR%\ntos.exeDieser "Gast" macht u.a.: Zitat • Änderung an der RegistryDein Rechner ist kompromottiert. Wie geschrieben, solltest Du den Rechner jetzt vom Netz nehmen und ihn neu aufspielen.Hier ist eine Anleitung für Dich. Und ganz wichtig: Ändere alle Passwörter und Zugangsdaten und prüfe Onlinekonten auf Unregelmäßigkeiten! Das mag Dir etwas übertrieben scheinen, vielleicht sagen raman, Arnold oder Sabina ja noch was anderes, meiner Meinung nach und der vieler anderen, ist es der einzig saubere und richtige Weg.[/url] |
|
|
||
06.04.2008, 20:09
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo,
nun ja...man kann es sauber bekommen .... es reicht, mit combofix zu scannen (enthält Reinigungsroutine) «« http://virus-protect.org/artikel/tools/otmoveIt.html Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Zitat c:\winnt\system32\ntos.exeKlicke auf den Roten MoveIt! «« Combofix anwenden http://virus-protect.org/artikel/tools/combofix.html poste hier den report «« dann muss man noch einen Eintrag im HijackTHis fixen, also HijackThis laden und das log posten http://virus-protect.org/hjtkurz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2008, 23:00
Member
Themenstarter Beiträge: 14 |
#6
Hallo Sabina,
ich habe den o.g. Fahrplan abgearbeitet. Hier ist das Ergebnis des ersten Schrittes: File move failed. c:\winnt\system32\ntos.exe scheduled to be moved on reboot. Folder move failed. c:\winnt\system32\wsnpoem scheduled to be moved on reboot. OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04062008_223908 Files moved on Reboot... File move failed. c:\winnt\system32\ntos.exe scheduled to be moved on reboot. Folder move failed. c:\winnt\system32\wsnpoem scheduled to be moved on reboot. Hier das file von combofix: ComboFix 08-04-06.1 - xxx 06.04.2008 22:50:13.1 - [color=red]FAT32[/color]x86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.88 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINNT\system32\conf.dat C:\WINNT\Web\default.htt . ((((((((((((((((((((((( Dateien erstellt von 2008-03-06 bis 2008-04-06 )))))))))))))))))))))))))))))) . 2008-04-06 22:50 . 06.04.08 22:50 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_370.dat 2008-04-06 22:39 . 06.04.08 22:39 3,375,239 --a------ C:\WINNT\{00000000-00000000-0000000A-00001102-00000002-80661102}.BAK 2008-04-06 22:27 . 06.04.08 22:27 <DIR> d-------- C:\Programme\CCleaner 2008-04-06 22:17 . 06.04.08 22:17 <DIR> d-------- C:\_OTMoveIt . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2003-04-15 15:42 271 ---h--w C:\Programme\desktop.ini 2003-04-15 15:42 22,080 ---h--w C:\Programme\folder.htt 2002-11-04 12:54 3,392 ----a-w C:\WINNT\inf\OTHER\cmiainfo.sys 1999-12-10 10:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe] "ATI Launchpad"="" [] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [30.03.06 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe" [19.06.03 12:05 112400 C:\WINNT\system32\mobsync.exe] "HTpatch"="C:\WINNT\htpatch.exe" [30.10.02 11:40 28672] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [12.10.02 21:00 294912] "WinampAgent"="d:\Programme\Winamp\Winampa.exe" [02.04.03 04:20 12288] "NeroCheck"="C:\WINNT\system32\NeroCheck.exe" [11.09.02 18:01 155648] "Cmaudio"="cmicnfg.cpl" [] "CTHelper"="CTHELPER.EXE" [28.08.03 10:45 24576 C:\WINNT\system32\CTHELPER.EXE] "UpdReg"="C:\WINNT\UpdReg.EXE" [11.05.00 01:00 90112] "Jet Detection"="C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [29.11.01 01:00 28672] "GhostStartTrayApp"="D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [28.01.04 16:14 94208] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [18.09.07 03:15 185632] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [29.12.07 19:13 249896] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 12:05 189712] C:\Dokumente und Einstellungen\Dennis Klimpel\Startmen\Programme\Autostart\ InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304] Trust SpeedShare Turbo Pro LAN Adapter Configuration Utility.lnk - C:\Programme\Trust SpeedShare Turbo Pro LAN Adapter\WLANPRO.exe [2006-09-22 22:30:43 2502656] Cisco Systems VPN Client.lnk - C:\Programme\Cisco Systems\VPN Client\vpngui.exe [2006-09-25 20:57:27 1470480] Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.lhacm"= lhacm.acm "vidc.div2"= divxc32.dll "vidc.div3"= divxc32.dll "vidc.div4"= divxc32f.dll "vidc.XVID"= xvid.dll "vidc.RMP4"= rmp4.dll "vidc.mjpg"= pvmjpg21.dll "vidc.hfyu"= huffyuv.dll "vidc.cdvc"= CSCCDVC.DLL "msacm.pcdv"= pcdv.acm "msacm.l3acm"= l3codeca.acm "msacm.lameacm"= LameACM.acm "msacm.qmpeg"= qmpeg.acm "msacm.divxa32"= divxa32.acm "msacm.wrpr"= aviwrap.dll "vidc.wrpr"= aviwrap.dll "aux"= mmdrv.dll "wave3"= "wave4"= "wave5"= "wave6"= "wave7"= "wave8"= "wave9"= "midi3"= "midi4"= "midi5"= "midi6"= "midi7"= "midi8"= "midi9"= "aux1"= "aux2"= "aux3"= "aux4"= "aux5"= "aux6"= "aux7"= "aux8"= "aux9"= "mixer3"= "mixer4"= "mixer5"= "mixer6"= "mixer7"= "mixer8"= "mixer9"= "VIDC.WMV3"= wmv9vcm.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [18.07.07 14:21 ] R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [09.08.07 13:03 ] R1 GhPciScan;GhostPciScanner;D:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [17.12.03 15:41 ] R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [19.06.03 12:05 ] R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [19.06.03 12:05 ] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-06 22:53:27 Windows 5.0.2195 Service Pack 4 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HTpatch = C:\WINNT\htpatch.exe?ndows\CurrentVersion\Run???P??wg??w???????????????????wx???x???@???????????????x???x???@???x???????x???x???x???x???x???x???0???0??????? ??? ??????? ??? ???????????????????x???x???????????x???x???x???x???? ??htinst.INI?????? !"#?????????L? Scanne versteckte Dateien... C:\WINNT\system32ntos.exe 311296 bytes C:\WINNT\system32wsnpoem Scan erfolgreich abgeschlossen versteckte Dateien: 2 ************************************************************************** . Zeit der Fertigstellung: 06.04.2008 22:54:17 ComboFix-quarantined-files.txt 2008-04-06 20:54:14 11 Verzeichnis(se), 1,237,864,448 Bytes frei 12 Verzeichnis(se), 1,232,883,712 Bytes frei Und schließlich das log file von Hijack this: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:07:39, on 06.04.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINNT\System32\svchost.exe D:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Programme\Winamp\Winampa.exe C:\WINNT\system32\CTHELPER.EXE D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\internat.exe D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Trust SpeedShare Turbo Pro LAN Adapter\WLANPRO.exe C:\Programme\Cisco Systems\VPN Client\vpngui.exe C:\WINNT\explorer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] "d:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Trust SpeedShare Turbo Pro LAN Adapter Configuration Utility.lnk = C:\Programme\Trust SpeedShare Turbo Pro LAN Adapter\WLANPRO.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{A5DCFF15-D5F0-4203-A1D5-C52C140647F5}: NameServer = 192.168.0.254 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: GhostStartService - Symantec Corporation - D:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 5916 bytes Dieser Beitrag wurde am 06.04.2008 um 23:23 Uhr von Alanin editiert.
|
|
|
||
06.04.2008, 23:28
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo
mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Zitat F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ntos.exe,Setze ein Häckchen in das Kästchen vor den genannten Eintrag der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !! und wähle fix checked. + starte den Rechner neu. «« dann wende noch mal Combofix an, denn ich will sehen, ob die C:\WINNT\system32ntos.exe 311296 bytes C:\WINNT\system32wsnpoem File move failed. c:\winnt\system32\ntos.exe scheduled to be moved on reboot. Folder move failed. c:\winnt\system32\wsnpoem scheduled to be moved on reboot. nach neustart raus sind... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2008, 20:52
Member
Themenstarter Beiträge: 14 |
#8
Hallo Sabina, hier das neue log file von combofix:
ComboFix 08-04-06.1 - xxx 07.04.2008 20:59:50.2 - [color=red]FAT32[/color]x86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.87 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-03-07 bis 2008-04-07 )))))))))))))))))))))))))))))) . 2008-04-07 20:59 . 07.04.08 20:59 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_314.dat 2008-04-06 23:07 . 06.04.08 23:07 <DIR> d-------- C:\Programme\Trend Micro 2008-04-06 22:39 . 07.04.08 20:54 3,375,239 --a------ C:\WINNT\{00000000-00000000-0000000A-00001102-00000002-80661102}.BAK 2008-04-06 22:27 . 06.04.08 22:27 <DIR> d-------- C:\Programme\CCleaner 2008-04-06 22:17 . 06.04.08 22:17 <DIR> d-------- C:\_OTMoveIt . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2003-04-15 15:42 271 ---h--w C:\Programme\desktop.ini 2003-04-15 15:42 22,080 ---h--w C:\Programme\folder.htt 2002-11-04 12:54 3,392 ----a-w C:\WINNT\inf\OTHER\cmiainfo.sys 1999-12-10 10:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe] "ATI Launchpad"="" [] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [30.03.06 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe" [19.06.03 12:05 112400 C:\WINNT\system32\mobsync.exe] "HTpatch"="C:\WINNT\htpatch.exe" [30.10.02 11:40 28672] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [12.10.02 21:00 294912] "WinampAgent"="d:\Programme\Winamp\Winampa.exe" [02.04.03 04:20 12288] "NeroCheck"="C:\WINNT\system32\NeroCheck.exe" [11.09.02 18:01 155648] "Cmaudio"="cmicnfg.cpl" [] "CTHelper"="CTHELPER.EXE" [28.08.03 10:45 24576 C:\WINNT\system32\CTHELPER.EXE] "UpdReg"="C:\WINNT\UpdReg.EXE" [11.05.00 01:00 90112] "Jet Detection"="C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [29.11.01 01:00 28672] "GhostStartTrayApp"="D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [28.01.04 16:14 94208] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [18.09.07 03:15 185632] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [29.12.07 19:13 249896] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 12:05 189712] C:\Dokumente und Einstellungen\Dennis Klimpel\Startmen\Programme\Autostart\ InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304] Trust SpeedShare Turbo Pro LAN Adapter Configuration Utility.lnk - C:\Programme\Trust SpeedShare Turbo Pro LAN Adapter\WLANPRO.exe [2006-09-22 22:30:43 2502656] Cisco Systems VPN Client.lnk - C:\Programme\Cisco Systems\VPN Client\vpngui.exe [2006-09-25 20:57:27 1470480] Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.lhacm"= lhacm.acm "vidc.div2"= divxc32.dll "vidc.div3"= divxc32.dll "vidc.div4"= divxc32f.dll "vidc.XVID"= xvid.dll "vidc.RMP4"= rmp4.dll "vidc.mjpg"= pvmjpg21.dll "vidc.hfyu"= huffyuv.dll "vidc.cdvc"= CSCCDVC.DLL "msacm.pcdv"= pcdv.acm "msacm.l3acm"= l3codeca.acm "msacm.lameacm"= LameACM.acm "msacm.qmpeg"= qmpeg.acm "msacm.divxa32"= divxa32.acm "msacm.wrpr"= aviwrap.dll "vidc.wrpr"= aviwrap.dll "aux"= mmdrv.dll "wave3"= "wave4"= "wave5"= "wave6"= "wave7"= "wave8"= "wave9"= "midi3"= "midi4"= "midi5"= "midi6"= "midi7"= "midi8"= "midi9"= "aux1"= "aux2"= "aux3"= "aux4"= "aux5"= "aux6"= "aux7"= "aux8"= "aux9"= "mixer3"= "mixer4"= "mixer5"= "mixer6"= "mixer7"= "mixer8"= "mixer9"= "VIDC.WMV3"= wmv9vcm.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [18.07.07 14:21 ] R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [09.08.07 13:03 ] R1 GhPciScan;GhostPciScanner;D:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [17.12.03 15:41 ] R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [19.06.03 12:05 ] R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [19.06.03 12:05 ] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-07 21:03:07 Windows 5.0.2195 Service Pack 4 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HTpatch = C:\WINNT\htpatch.exe?ndows\CurrentVersion\Run???P??wg??w???????????????????wx???x???@???????????????x???x???@???x???????x???x???x???x???x???x???0???0??????? ??? ??????? ??? ???????????????????x???x???????????x???x???x???x???? ??htinst.INI?????? !"#?????????L? Scanne versteckte Dateien... C:\WINNT\system32ntos.exe 311296 bytes C:\WINNT\system32wsnpoem Scan erfolgreich abgeschlossen versteckte Dateien: 2 ************************************************************************** . Zeit der Fertigstellung: 07.04.2008 21:03:58 ComboFix-quarantined-files.txt 2008-04-07 19:03:54 ComboFix2.txt 2008-04-06 20:54:20 11 Verzeichnis(se), 1,247,154,176 Bytes frei 12 Verzeichnis(se), 1,238,937,600 Bytes frei |
|
|
||
07.04.2008, 23:51
Ehrenmitglied
Beiträge: 29434 |
#9
1.
Versuch, das zu Löschen: http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move Zitat C:\WINNT\system32ntos.exeKlicke auf den Roten MoveIt! poste, was rechts vom Proggie erscheint...also, ob geloscht wurde oder nicht... -------------------------------------------------------------------------- 2. Versuch: Versteckte- und Systemdateien sichtbar machen http://virus-protect.org/invisible.html Killbox http://virus-protect.org/killbox.html "Delete on Reboot" und "Single File" anhaken + zu löschende Datei einkopieren C:\WINNT\system32ntos.exe klicken auf: bestätigt man "all listed Files will be deleted on Next Reboot" mit "yes" und es wird neugestartet. ------------- Killbox es soll ein Programm mit allen Unterordnern gelöscht werden - All Files- All Files anklicken einkopieren - löschen C:\WINNT\system32wsnpoem klicken auf: ---------------------------------------------------------------------- 3. Avenger http://virus-protect.org/artikel/tools/avenger.html setze ein Häkchen in: "Automatically disable any rootkits found" Das Häkchen "Scan for Rootkits" sollte jedoch angehakt sein. Script einkopieren einkopieren: Zitat Files to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes poste hier das log vom Avenger, was nach Neustart erscheint 4. wende sdfix an (muss im abgesicherten modus sein) http://virus-protect.org/artikel/tools/sdfix.html poste dann nach neustart den report » + poste ein neues Log von Combofix ------------ wenn das alles nix bringt (was wahrscheinlich ist... formatiere... wie schon geraten wurde, diese Version wird von Combofix nicht gelöscht, es fehlt der Querstrich "\" und wird somit nicht erkannt vom Scanner... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.04.2008, 23:49
Member
Themenstarter Beiträge: 14 |
#10
Hallo Sabina,
Punkt 1-3 habe ich versucht, und es hat tatsächlich leider nicht funktioniert. Punkt 4 versuche ich morgen! Ich möchte dir an dieser Stelle aber trotzdem DANKE!!! sagen für deine Hilfe. Hab immerhin was dazugelernt! liebe Grüße |
|
|
||
12.04.2008, 13:35
Member
Themenstarter Beiträge: 14 |
#11
Hi, habe mit einem Tool von Mcafee (Rootkit Detector) die infizierten Dateien umbenennen lassen und sie anschließend mit Anti Vir entfernt. Hier das neue log file von Anti Vir:
AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Samstag, 12. April 2008 18:17 Es wird nach 1198942 Virenstämmen gesucht. Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '31' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <WINDOOF> C:\PAGEFILE.SYS [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINNT\system32\ntos.exe.REN [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.nm [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> 327882R2FWJFW\psexec.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072 --> 327882R2FWJFW\pv.cfexe [FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Samstag, 12. April 2008 18:30 Benötigte Zeit: 12:54 min Der Suchlauf wurde vollständig durchgeführt. 1660 Verzeichnisse wurden überprüft 74350 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 1 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 74347 Dateien ohne Befall 443 Archive wurden durchsucht 2 Warnungen 0 Hinweise 19609 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Der Scanner hat auch combofix erkannt, das habe ich aber ignoriert. Ist der Trojaner damit erledigt? oder kann jemand noch etwas entdecken? lg Alanin Dieser Beitrag wurde am 13.04.2008 um 04:43 Uhr von Alanin editiert.
|
|
|
||
12.04.2008, 19:56
Ehrenmitglied
Beiträge: 29434 |
#12
wende noch mal sdfix an (muss im abgesicherten modus sein)
http://virus-protect.org/artikel/tools/sdfix.html poste dann nach neustart den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.04.2008, 02:09
Member
Themenstarter Beiträge: 14 |
#13
Hi Sabina, waren die anderen beiden Funde von Anti Vir auf Einträge von combofix zurückzuführen?
Hier das neue logfile von sdfix: SDFix: Version 1.167 Run by xxx on So 13.04.2008 at 2:17 Microsoft Windows 2000 [Version 5.00.2195] Running From: C:\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-13 02:19:58 Windows 5.0.2195 Service Pack 4 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HTpatch = C:\WINNT\htpatch.exe?ndows\CurrentVersion\Run???P??wg??w???????????????????wx???x???@???????????????x???x???@???x???????x???x???x???x???x???x???0???0??????? ??? ??????? ??? ???????????????????x???x???????????x???x???x???x???? ??htinst.INI?????? !"#?????????L? scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Fri 13 Jan 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Tue 27 Jan 2004 10,198 A..H. --- "C:\Programme\Microsoft Office\Office\Shortcut-Leiste\Off3.tmp" Tue 27 Jan 2004 10,198 A..H. --- "C:\Programme\Microsoft Office\Office\Shortcut-Leiste\Off2.tmp" Fri 7 May 2004 10,198 A..H. --- "C:\Programme\Microsoft Office\Office\Shortcut-Leiste\Off4.tmp" Fri 7 May 2004 10,198 A..H. --- "C:\Programme\Microsoft Office\Office\Shortcut-Leiste\Off5.tmp" Fri 7 May 2004 10,198 A..H. --- "C:\Programme\Microsoft Office\Office\Shortcut-Leiste\Off6.tmp" Wed 17 Dec 2003 8,544 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\CATC USB Ethernet\Elndis.sys" Wed 17 Dec 2003 33,149 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\CATC USB Ethernet\Usbd.sys" Wed 17 Dec 2003 29,628 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPICD.SYS" Wed 17 Dec 2003 161,792 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BOOTSRV.SYS" Wed 17 Dec 2003 202,517 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\CMDS.EXE" Wed 17 Dec 2003 22,158 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\COUNTRY.SYS" Wed 17 Dec 2003 1,608 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DEVICE.COM" Wed 17 Dec 2003 15,345 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DISPLAY.SYS" Wed 17 Dec 2003 14,160 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\HIMEM.SYS" Wed 17 Dec 2003 10,898 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\KEYB.COM" Wed 17 Dec 2003 53,556 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\KEYBOARD.SYS" Wed 17 Dec 2003 15,777 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MODE.COM" Wed 17 Dec 2003 37,681 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MOUSE.COM" Wed 17 Dec 2003 21,180 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MSCDEX.EXE" Wed 17 Dec 2003 8,513 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\NETBIND.COM" Wed 17 Dec 2003 129,240 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\OHCI.EXE" Wed 17 Dec 2003 28,439 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\Paralink.com" Wed 17 Dec 2003 13,770 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\PROTMAN.EXE" Wed 17 Dec 2003 130,980 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\UHCI.EXE" Wed 17 Dec 2003 174,080 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\bootsrv16.sys" Wed 17 Dec 2003 354,304 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\msbootsrv16.sys" Wed 17 Dec 2003 56,821 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\E.EXE" Wed 17 Dec 2003 354,263 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\Net.exe" Wed 17 Dec 2003 7,840 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DLSHELP.SYS" Wed 17 Dec 2003 374,038 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\CMDS16.EXE" Wed 17 Dec 2003 49,250 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIOHCI.SYS" Wed 17 Dec 2003 52,106 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIEHCI.SYS" Wed 17 Dec 2003 51,150 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI1394.SYS" Wed 17 Dec 2003 32,396 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\GUEST.EXE" Wed 17 Dec 2003 50,600 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIUHCI.SYS" Wed 17 Dec 2003 35,340 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI2DOS.SYS" Wed 17 Dec 2003 14,378 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI4DOS.SYS" Wed 17 Dec 2003 37,984 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI8DOS.SYS" Wed 17 Dec 2003 44,828 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI8U2.SYS" Wed 17 Dec 2003 21,971 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BTCDROM.SYS" Wed 17 Dec 2003 30,955 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BTDOSM.SYS" Wed 17 Dec 2003 64,425 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\FLASHPT.SYS" Wed 17 Dec 2003 41,302 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\OAKCDROM.SYS" Wed 17 Dec 2003 17,043 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DE400 Packet\De400pd.com" Wed 17 Dec 2003 11,491 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DMF560-TX Packet\Lmpd.com" Wed 17 Dec 2003 17,791 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DT620 Packet\Dt620pd.com" Wed 17 Dec 2003 11,786 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\IBM Crystal LAN Packet\Epktisa.com" Wed 17 Dec 2003 18,300 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Kingston EtheRx KNE110TX Packet\Ktc110p.com" Wed 17 Dec 2003 13,360 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD-CDF Packet\Ldcdt.com" Wed 17 Dec 2003 9,190 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD-PCI2TL Packet\Ldpcil.com" Wed 17 Dec 2003 12,567 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Melco LPC2-T\Lpchkat2.com" Wed 17 Dec 2003 44,640 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FW-100TX Fast Ethernet Packet\FETPKT.COM" Wed 17 Dec 2003 56,896 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FW-100TX Fast Ethernet Packet\Rtspkt.com" Wed 17 Dec 2003 9,692 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\PXE Packet Driver\Undipd.com" Wed 17 Dec 2003 32,484 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\WaveLAN Packet\Wvlan42.com" Wed 17 Dec 2003 50,795 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom CBE10-100BTX\Cbendis.exe" Wed 17 Dec 2003 48,223 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom CBE10-100BTX Packet\Cbepd.com" Wed 17 Dec 2003 48,641 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet II PS\Xpsndis.exe" Wed 17 Dec 2003 49,015 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet II PS Packet\Xpspd.com" Wed 17 Dec 2003 33,860 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom PE3-10Bx\Pe3ndis.exe" Wed 17 Dec 2003 50,405 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom RE10 - RE100 Packet\Ce3pd.com" Wed 17 Dec 2003 48,491 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom RE10BT\Ce3ndis.exe" Wed 17 Dec 2003 44,640 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FNW9x00T - ENW8300T Packet\fetpkt.com" Wed 17 Dec 2003 52,225 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet 10-100 + Modem\Cbendis.exe" Wed 17 Dec 2003 50,175 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Re-100Btx + Ce3B-100Btx\Ce3ndis.exe" Wed 17 Dec 2003 12,732 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c509 Packet\3C5X9PD.COM" Wed 17 Dec 2003 26,424 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c59x Packet\3C59XPD.COM" Wed 17 Dec 2003 17,952 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1200 Packet\EC32PD.COM" Wed 17 Dec 2003 29,499 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1203 Packet\PCIPD.COM" Wed 17 Dec 2003 12,660 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1204 Packet\VLNWPD.COM" Wed 17 Dec 2003 11,031 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207 Packet\PCIPD.COM" Wed 17 Dec 2003 10,710 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207C Packet\PCIPD.COM" Wed 17 Dec 2003 10,083 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207D Packet\ACCPKT.COM" Wed 17 Dec 2003 28,062 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207F Packet\EN5251PD.COM" Wed 17 Dec 2003 10,257 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207TX Packet\PCIPD.COM" Wed 17 Dec 2003 9,424 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1208 Packet\1208PD.COM" Wed 17 Dec 2003 7,463 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1625 Packet\NEPD.COM" Wed 17 Dec 2003 13,673 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1640 Packet\NWPD.COM" Wed 17 Dec 2003 7,825 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1651 Packet\NWPD.COM" Wed 17 Dec 2003 7,825 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1652 Packet\NWPD.COM" Wed 17 Dec 2003 7,825 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1650 Packet\NWPD.COM" Wed 17 Dec 2003 7,243 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1653 Packet\NE2PD.COM" Wed 17 Dec 2003 7,825 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1656 Packet\NWPD.COM" Wed 17 Dec 2003 14,438 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1657 Packet\NWPD.COM" Wed 17 Dec 2003 14,438 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1658 Packet\NWPD.COM" Wed 17 Dec 2003 7,825 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN166X Packet\NWPD.COM" Wed 17 Dec 2003 24,767 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2216 Packet\PCMPD.COM" Wed 17 Dec 2003 25,460 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2218 Packet\PCMPD.COM" Wed 17 Dec 2003 10,286 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2228 Packet\PCMPD.COM" Wed 17 Dec 2003 28,866 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2320 Packet\EN5251PD.COM" Wed 17 Dec 2003 11,854 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWorks ISA (DE305) Packet\DE305.COM" Wed 17 Dec 2003 62,391 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWORKS DE500 Packet\DE500.COM" Wed 17 Dec 2003 52,715 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWORKS DE450 Packet\DE450.COM" Wed 17 Dec 2003 48,224 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD 10-100AL Packet\L100al.com" Wed 17 Dec 2003 9,537 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\SN 2000p Packet\PNPPD.COM" Wed 17 Dec 2003 65,088 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c556 Packet\3C556.COM" Wed 17 Dec 2003 53,786 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\command.com" Wed 17 Dec 2003 44,240 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\IBMBIO.COM" Wed 17 Dec 2003 42,550 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\IBMDOS.COM" Finished! |
|
|
||
13.04.2008, 11:47
Ehrenmitglied
Beiträge: 29434 |
||
|
||
13.04.2008, 20:49
Member
Themenstarter Beiträge: 14 |
#15
Hi Sabina, im combofix report wird noch eine versteckte Datei angezeigt. Stammt die evt. von combifix selbst?
hier der Report: ComboFix 08-04-06.1 - xxx 13.04.2008 20:57:30.4 - [color=red]FAT32[/color]x86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.97 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-03-13 bis 2008-04-13 )))))))))))))))))))))))))))))) . 2008-04-13 20:57 . 13.04.08 20:57 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_2f8.dat 2008-04-13 02:37 . 13.04.08 02:37 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-04-12 13:33 . 12.04.08 13:33 <DIR> d-------- C:\WINNT\ERUNT 2008-04-08 23:29 . 07.04.08 12:19 <DIR> d-------- C:\SDFix 2008-04-08 22:56 . 08.04.08 22:56 <DIR> d-------- C:\!KillBox 2008-04-06 23:07 . 06.04.08 23:07 <DIR> d-------- C:\Programme\Trend Micro 2008-04-06 22:39 . 13.04.08 05:12 3,375,239 --a------ C:\WINNT\{00000000-00000000-0000000A-00001102-00000002-80661102}.BAK 2008-04-06 22:27 . 06.04.08 22:27 <DIR> d-------- C:\Programme\CCleaner 2008-04-06 22:17 . 06.04.08 22:17 <DIR> d-------- C:\_OTMoveIt . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2003-04-15 15:42 271 ---h--w C:\Programme\desktop.ini 2003-04-15 15:42 22,080 ---h--w C:\Programme\folder.htt 2002-11-04 12:54 3,392 ----a-w C:\WINNT\inf\OTHER\cmiainfo.sys 1999-12-10 10:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys . ((((((((((((((((((((((((((((( snapshot@So 06.04.2008_22.53.44,98 ))))))))))))))))))))))))))))))))))))))))) . + 2008-04-07 10:18:22 163,328 ----a-w C:\WINNT\ERUNT\SDFIX\ERDNT.EXE + 2008-04-13 00:15:38 3,178,496 ----a-w C:\WINNT\ERUNT\SDFIX\Users\00000001\ntuser.dat + 2008-04-13 00:15:38 8,192 ----a-w C:\WINNT\ERUNT\SDFIX\Users\00000002\UsrClass.dat + 2008-04-07 10:18:22 163,328 ----a-w C:\WINNT\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2008-04-12 11:33:48 3,137,536 ----a-w C:\WINNT\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat + 2008-04-12 11:33:48 8,192 ----a-w C:\WINNT\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe] "ATI Launchpad"="" [] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [30.03.06 16:45 313472] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.08 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe" [19.06.03 12:05 112400 C:\WINNT\system32\mobsync.exe] "HTpatch"="C:\WINNT\htpatch.exe" [30.10.02 11:40 28672] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [12.10.02 21:00 294912] "WinampAgent"="d:\Programme\Winamp\Winampa.exe" [02.04.03 04:20 12288] "NeroCheck"="C:\WINNT\system32\NeroCheck.exe" [11.09.02 18:01 155648] "Cmaudio"="cmicnfg.cpl" [] "CTHelper"="CTHELPER.EXE" [28.08.03 10:45 24576 C:\WINNT\system32\CTHELPER.EXE] "UpdReg"="C:\WINNT\UpdReg.EXE" [11.05.00 01:00 90112] "Jet Detection"="C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [29.11.01 01:00 28672] "GhostStartTrayApp"="D:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [28.01.04 16:14 94208] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [18.09.07 03:15 185632] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [29.12.07 19:13 249896] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [10.12.99 12:00 20752 C:\WINNT\system32\internat.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 12:05 189712] C:\Dokumente und Einstellungen\Dennis Klimpel\Startmen\Programme\Autostart\ InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ InterVideo WinCinema Manager.lnk - D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-04-19 15:47:20 98304] Trust SpeedShare Turbo Pro LAN Adapter Configuration Utility.lnk - C:\Programme\Trust SpeedShare Turbo Pro LAN Adapter\WLANPRO.exe [2006-09-22 22:30:43 2502656] Cisco Systems VPN Client.lnk - C:\Programme\Cisco Systems\VPN Client\vpngui.exe [2006-09-25 20:57:27 1470480] Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.lhacm"= lhacm.acm "vidc.div2"= divxc32.dll "vidc.div3"= divxc32.dll "vidc.div4"= divxc32f.dll "vidc.XVID"= xvid.dll "vidc.RMP4"= rmp4.dll "vidc.mjpg"= pvmjpg21.dll "vidc.hfyu"= huffyuv.dll "vidc.cdvc"= CSCCDVC.DLL "msacm.pcdv"= pcdv.acm "msacm.l3acm"= l3codeca.acm "msacm.lameacm"= LameACM.acm "msacm.qmpeg"= qmpeg.acm "msacm.divxa32"= divxa32.acm "msacm.wrpr"= aviwrap.dll "vidc.wrpr"= aviwrap.dll "aux"= mmdrv.dll "wave3"= "wave4"= "wave5"= "wave6"= "wave7"= "wave8"= "wave9"= "midi3"= "midi4"= "midi5"= "midi6"= "midi7"= "midi8"= "midi9"= "aux1"= "aux2"= "aux3"= "aux4"= "aux5"= "aux6"= "aux7"= "aux8"= "aux9"= "mixer3"= "mixer4"= "mixer5"= "mixer6"= "mixer7"= "mixer8"= "mixer9"= "VIDC.WMV3"= wmv9vcm.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys [18.07.07 14:21 ] R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [09.08.07 13:03 ] R1 GhPciScan;GhostPciScanner;D:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [17.12.03 15:41 ] R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [19.06.03 12:05 ] R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [19.06.03 12:05 ] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-13 20:59:15 Windows 5.0.2195 Service Pack 4 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run HTpatch = C:\WINNT\htpatch.exe?ndows\CurrentVersion\Run???P??wg??w???????????????????wx???x???@???????????????x???x???@???x???????x???x???x???x???x???x???0???0??????? ??? ??????? ??? ???????????????????x???x???????????x???x???x???x???? ??htinst.INI?????? !"#?????????L? Scanne versteckte Dateien... C:\WINNT\system32Perflib_Perfdata_3d8.dat 16384 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . Zeit der Fertigstellung: 13.04.2008 20:59:31 ComboFix-quarantined-files.txt 2008-04-13 18:59:30 ComboFix4.txt 2008-04-06 20:54:20 ComboFix3.txt 2008-04-07 19:04:02 ComboFix2.txt 2008-04-07 20:00:06 14 Verzeichnis(se), 1,045,860,352 Bytes frei 15 Verzeichnis(se), 1,037,369,344 Bytes frei |
|
|
||
Dürfen die betroffenen Dateien gelöscht werden?
Hier der Report:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 6. April 2008 16:16
Es wird nach 1181591 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Benutzername:
Computername:
Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 12:16:26
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 14:48:30
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 14:32:44
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 14:49:06
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:27:16
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 01:34:18
ANTIVIR2.VDF : 7.0.3.85 434176 Bytes 27.03.2008 19:06:50
ANTIVIR3.VDF : 7.0.3.122 195072 Bytes 05.04.2008 10:30:10
AVEWIN32.DLL : 7.6.0.81 3424768 Bytes 05.04.2008 01:40:06
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:24
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 06:16:52
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 15.01.2008 21:29:06
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 06:17:04
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 11:26:30
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 06:10:16
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:04
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 11:37:52
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 11:50:30
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 08:37:22
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Sonntag, 6. April 2008 16:16
Der Suchlauf nach versteckten Objekten wird begonnen.
c:\winnt\system32\ntos.exe
[HINWEIS] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.nm
[HINWEIS] Es konnte kein SpecVir-Eintrag gefunden werden!
[INFO] Eine Sicherungskopie wurde unter dem Namen 4867dc04.qua erstellt ( QUARANTÄNE )
c:\winnt\system32\wsnpoem\video.dll
[HINWEIS] Die Datei ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 485cdbf9.qua erstellt ( QUARANTÄNE )
c:\winnt\system32\wsnpoem\audio.dll
[HINWEIS] Die Datei ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 485cdc06.qua erstellt ( QUARANTÄNE )
c:\winnt\system32\wsnpoem
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
[INFO] Eine Sicherungskopie wurde unter dem Namen 4866dc04.qua erstellt ( QUARANTÄNE )
Es wurden '27285' Objekte überprüft, '4' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpngui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANPRO.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinCinemaMgr.ex' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GhostStartTrayA' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'htpatch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GhostStartServi' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SAgent2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\audio.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\video.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Die Registry wurde durchsucht ( '64' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <WINDOOF>
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Sonntag, 6. April 2008 16:30
Benötigte Zeit: 14:06 min
Der Suchlauf wurde vollständig durchgeführt.
1772 Verzeichnisse wurden überprüft
82404 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
25 Dateien konnten nicht durchsucht werden
82403 Dateien ohne Befall
1290 Archive wurden durchsucht
25 Warnungen
0 Hinweise
27285 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden