Antivirus 2008 PRO - virusmeldungen und spyware warnungen

#16 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor ...oder über Ausführen...) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\sv" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#17

Zitat

Tonstudio postete
Hallo Stefano78

Das combofix-Log findest du hier:
C:/Combofix/combofix.txt

Gruss Swiss

Danke @ swiss...

ComboFix 08-06-10.3 - MichaelP 2008-06-12 16:17:57.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\MichaelP\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-12 bis 2008-06-12 ))))))))))))))))))))))))))))))
.

2008-06-12 08:17 . 2008-06-12 08:17 <DIR> d-------- C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\Malwarebytes
2008-06-12 08:17 . 2008-06-12 08:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-12 08:17 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-12 08:17 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-12 08:16 . 2008-06-12 09:10 <DIR> d-------- D:\Programme\Malwarebytes' Anti-Malware
2008-06-11 18:21 . 2008-06-11 18:22 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-06-11 16:22 . 2008-06-11 16:22 <DIR> d-------- C:\WINDOWS\ERUNT
2008-06-11 16:13 . 2008-06-11 16:13 <DIR> d-------- C:\_OTMoveIt
2008-06-11 13:25 . 2008-04-14 17:51 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 12:40 . 2008-06-11 12:40 <DIR> d-------- D:\Programme\CCleaner
2008-06-05 19:08 . 2008-06-05 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\MichaelP\temp
2008-06-05 19:08 . 2008-06-05 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\TeamViewer
2008-05-17 04:24 . 2008-05-17 04:24 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-14 17:41 . 2008-06-10 18:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-14 17:41 . 2008-05-14 17:41 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-11 11:56 --------- d-----w C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\AdobeUM
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-16 08:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-14 15:51 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2004-06-27 09:40 27 ----a-w D:\Programme\stinger.opt
2004-06-27 09:26 784,903 ----a-w D:\Programme\stinger.exe
2004-04-29 00:25 1,024 ----a-w C:\Dokumente und Einstellungen\MichaelP\updata.exe
2004-03-11 11:27 40,960 ----a-w D:\Programme\Uninstall_CDS.exe
2004-06-04 20:00 2,814 --sha-w C:\WINDOWS\system32\galga.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"swg"="D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-06 13:53 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 03:36 262401]
"Device Detector"="C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" [ ]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2006-11-19 14:26 98304]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-11-17 11:33 3022848]
"Lexmark 1200 Series"="D:\Programme\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 07:26 57344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader Speed Launch.lnk - D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
HotSync Manager.lnk - D:\Programme\Handspring\HOTSYNC.EXE [2006-05-05 11:37:13 282624]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{03A80B1D-5C6A-42c2-9DFB-81B6005D8023}"= D:\Programme\Trend Micro\Tmas\sshook.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"D:\\Programme\\MSN Messenger\\msnmsgr.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-16 03:36]
R0 fasttrak;fasttrak;C:\WINDOWS\system32\DRIVERS\fasttrak.sys [2002-04-23 13:42]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 03:36]
S3 Amps2prt;PS/2 Port Mouse Filter Driver;C:\WINDOWS\system32\Drivers\Amps2prt.sys [2001-04-04 18:54]
S3 PentaxUsb;PENTAX Optio 50L on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys [2004-11-24 15:34]
S3 PentaxVc;PENTAX Optio 50L Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys [2004-11-24 15:36]
S3 StMp3Rec;Treiber für Player-Wiederherstellungsgerät;C:\WINDOWS\system32\Drivers\StMp3Rec.sys [2007-02-15 14:14]
S3 VisorUsb;Handspring USB;C:\WINDOWS\system32\DRIVERS\VisorUsb.sys [2001-03-01 15:07]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6ab1522-dfde-11d9-80a1-806d6172696f}]
\Shell\AutoRun\command - F:\AutoRun\Demo.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{646C9593-5DEB-4A37-628A-5D1F833F9FEA}]
C:\WINDOWS\system32\sv\sv.exe s

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7A8BCF3C-ADEB-B39D-3AD9-EE7208710DA7}]
C:\WINDOWS\system32\sv\server.exe s
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-12 16:20:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-12 16:21:44
ComboFix-quarantined-files.txt 2008-06-12 14:21:42
ComboFix2.txt 2008-06-11 11:20:26
ComboFix3.txt 2007-07-25 14:35:44
ComboFix4.txt 2007-07-25 08:41:47

15 Verzeichnis(se), 396,025,856 Bytes frei
17 Verzeichnis(se), 448,688,128 Bytes frei

96 --- E O F --- 2008-06-11 16:23:17


Guten Morgen Sabina,

da bin ich wieder.

habe hier folgenden Text:

Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS\system32\sv

Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\Dokumente und Einstellungen\MichaelP\Lokale Einstellungen\Temporary Internet Files\Content.IE5

13.06.2008 09:42 2.572.288 index.dat
1 Datei(en) 2.572.288 Bytes
0 Verzeichnis(se), 447.926.272 Bytes frei
Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\Dokumente und Einstellungen\MichaelP\Lokale Einstellungen\Temp

13.06.2008 09:27 <DIR> .
13.06.2008 09:27 <DIR> ..
13.06.2008 09:42 40.960 rtdrvmon.exe
13.06.2008 09:26 512 ~DF95F.tmp
2 Datei(en) 41.472 Bytes
2 Verzeichnis(se), 447.922.176 Bytes frei
Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS\Temp

13.06.2008 09:22 <DIR> .
13.06.2008 09:22 <DIR> ..
13.06.2008 09:24 255 WGAErrLog.txt
13.06.2008 09:29 409 WGANotify.settings
2 Datei(en) 664 Bytes
2 Verzeichnis(se), 447.922.176 Bytes frei
Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\Temp

05.06.2008 19:15 <DIR> .
05.06.2008 19:15 <DIR> ..
23.11.2007 13:59 56.604 Bild xmas 07.jpg
14.03.2008 18:38 0 EnhancedDataOutput.txt
05.02.2008 10:32 60.489 fallen_angels.gif
23.03.2008 12:02 33.474 Framic Duo Pressefoto neu 08 klein.jpg
02.10.2006 13:12 30.855 FRAMIC LOGO JACKE.jpg
05.09.2006 13:56 45.209 FRAMIC neu Cover.jpg
25.04.2007 17:30 105.410 framic tshirts 999.jpg
14.04.2007 09:58 20.628 Frank und micha Fotot neu.jpg
04.09.2007 20:11 21.015 jam-six.pressefoto für info.jpg
11.06.2007 10:55 37.821 jam-six.pressefoto neu 2.jpg
12.03.2007 15:02 282.360 jam-six.pressefoto neu.jpg
23.08.2007 16:51 20.417 jam_0420.jpg
08.10.2007 17:32 66.529 michi_und_jens.gif
01.06.2007 13:27 8.787 Schluessel 6 sehr klein.jpg
01.06.2007 13:27 13.684 Schluessel Kopie klein.jpg
12.08.2005 14:19 2.578 schluessel_script.gif
26.03.2007 12:15 14.353 silhou.jpg
17 Datei(en) 820.213 Bytes
2 Verzeichnis(se), 447.922.176 Bytes frei


Gruß Stefano

#18 Hallo,

Virustotal http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\MichaelP\updata.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier komplett kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hallo Sabina,

hier der text:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.13.1 2008.06.13 -
AntiVir 7.8.0.55 2008.06.13 -
Authentium 5.1.0.4 2008.06.12 W32/Malware!9300
Avast 4.8.1195.0 2008.06.13 -
AVG 7.5.0.516 2008.06.13 -
BitDefender 7.2 2008.06.13 -
CAT-QuickHeal 9.50 2008.06.12 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.06.13 -
DrWeb 4.44.0.09170 2008.06.12 -
eSafe 7.0.15.0 2008.06.12 -
eTrust-Vet 31.6.5871 2008.06.13 -
Ewido 4.0 2008.06.12 -
F-Prot 4.4.4.56 2008.06.12 W32/Malware!9300
F-Secure 6.70.13260.0 2008.06.13 -
Fortinet 3.14.0.0 2008.06.13 W32/Dedler.P!worm
GData 2.0.7306.1023 2008.06.13 -
Ikarus T3.1.1.26.0 2008.06.13 -
Kaspersky 7.0.0.125 2008.06.13 -
McAfee 5316 2008.06.12 -
Microsoft 1.3604 2008.06.13 -
NOD32v2 3183 2008.06.13 -
Norman 5.80.02 2008.06.12 -
Panda 9.0.0.4 2008.06.12 -
Prevx1 V2 2008.06.13 -
Rising 20.48.40.00 2008.06.13 -
Sophos 4.30.0 2008.06.13 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.13 -
TheHacker 6.2.92.346 2008.06.12 -
VBA32 3.12.6.7 2008.06.12 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.13 -
weitere Informationen
File size: 1024 bytes
MD5...: 7f31777c9c35006bb7ae61e9356a7501
SHA1..: c00435b4a96dc6c27c5ed871033718057eca1f93
SHA256: f2f554425b98aa0b423639a9e2c2d5ed3ee38431e8a0c5d835baa72a7828c98a
SHA512: ecf2e6bb24eb4d8dcf7151ac1a28363765d1bdc4b7c1a06c8263e9f7aa8b7cfc
862f8f46f089e4a6c24f7e5f829aebfe6720761bbaf5efc8e14a15a92b9211a4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40104d
timedatestamp.....: 0x40729171 (Tue Apr 06 11:16:01 2004)
machinetype.......: 0x14c (I386)

( 1 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1b8 0x200 5.19 8cc163f7650a99ff3363ca381ca8455f

( 1 imports )
> KERNEL32.dll: DeleteFileA, CopyFileA, Sleep, GetCommandLineA, CreateProcessA

( 0 exports )

Gruß Stefano

#20 ««
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\Dokumente und Einstellungen\MichaelP\updata.exe

Klicke auf den Roten MoveIt!

----------------------------

««
deinstalliere vorrübergehend AntiVir Personal (kannst du nach der Reinigung wieder neu laden)


««
lade fprot - Trialware / 30-Tage
http://virus-protect.org/artikel/tools/fprotwindows.html

scanne+
klicke: Scan Report
Klicke: Advanced - Setting - View scan report - und kopiere ihn
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo Sabina,

AntiVir Personal deinstalliert!
Wo finde ich denn später einen Downloadlink zum wieder installiere?

Das hier habe ich auch durchgeführt(sogar 2x) aber einen scan report finde ich nicht!


Gruß Stefano

lade fprot - Trialware / 30-Tage
http://virus-protect.org/artikel/tools/fprotwindows.html

scanne+
klicke: Scan Report
Klicke: Advanced - Setting - View scan report - und kopiere ihn

#22 lade:
WINDOWS
F-PROT Antvirus
Home User
2000/2003/XP
http://www.fprot.org/
__________
MfG Sabina

rund um die PC-Sicherheit

#23

Zitat

Sabina postete
lade:
WINDOWS
F-PROT Antvirus
Home User
2000/2003/XP
http://www.fprot.org/

Hallo Sabina,

ich habe den beschrieben Scan mittlerweile 3 mal durchgeführt.
Sogar die Software wieder entfernt und neu geladen.

Einen Scanreport habe ich keinem Fall angezeit bekommen.

So wie es aussieht hat fprot.org aber auch nichts gefunden.


ICh weiß nicht mehr weiter.
kannst Du mir helfen?

Gruß Stefano

#24 Scan Report
Klicke: Advanced - Setting - View scan report
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Hallo Sabina,

Scan Report
Klicke: Advanced - Settings

und dann stehen drei Obtionen zum Anhaken:

---------------------------------------
x Manual scan reporting

report all scanned objects in scan report

---------------------------------------

oder

----------------------------------------

x Virus detected

make sound when a virs is found
-------------------------------------------

oder

------------------------------
x Other settings

- report possible unwanted applications

- show icon intray

---------------------------------------
Aber kein view scan report

Gruß Stefano

#26 Hallo,

du hast doch den scan überprüft...und es wurde nichts mehr gefunden.
somit kannst du den scanner noch 30 Tage auf dem System behalten.
Dann deinstallieren oder kaufen.
Ansonsten: installiere wieder den Antivirus
http://virus-protect.org/antivirus.html

mit dem Antivirus kannst du dann noch mal einen gründlichen Scan im Expertenmodus machen (Heuistik hoch)



Lade bitte keine gefälschten Programme mehr und überlege dreimal, bevor du auf etwas klickst.
Wenn es noch Probleme geben sollte, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Hallo Sabina,
bis hier hin schon mal vielen Dank!

Du erwähntest aber noch einen verseuchten USB Stick das kann nur ein MP3 player sein, der in der Tat spinnt können wir da was nmachen? darf ich den überhaupt nohc nal an den PC anschliessen oder bekomme ich dann die gleichen Probleme?

Gruß Stefano

#28 das dürfte ein USB-Gerät sein: ob die Demo.exe sauber ist oder nicht...keine Ahnung

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6ab1522-dfde-11d9-80a1-806d6172696f}]
\Shell\AutoRun\command - F:\AutoRun\Demo.exe

das hier ist eigenartig, aber auf dem Rechner wurde kein
C:\WINDOWS\system32\sv\sv.exe gefunden, ist also nur noch in der Registry vorhanden:

Zitat

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{646C9593-5DEB-4A37-628A-5D1F833F9FEA}]
C:\WINDOWS\system32\sv\sv.exe s

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7A8BCF3C-ADEB-B39D-3AD9-EE7208710DA7}]
C:\WINDOWS\system32\sv\server.exe s
.

am besten, du leerst alles, was du auf dem MP3 gespeichert hast, dann schliesse ihn wieder an + berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Hallo!

hab mich gerade angemeldet, weil auch ich ein problem mit antivir 2008 pro habe.
die sache ist die, das ich mich nicht besonders gut mit computern auskenne!
würde aber gerne wissen wie ich dieses lässtige programm (-oder trojaner)
entferne.
deshalb hoffe ich, das ihr mir weiterhelfen könnt..!

ich sage jetzt schon einmal danke im vorraus!!

#30 Hallo MistaQ

wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

wende smitfraudfix Option 2 an
http://virus-protect.org/artikel/tools/smitfrautfix.html

«
scannen mit Malwarebytes + poste hier den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit