AntiSpywareExpert - Web Technologies

#0
14.07.2008, 00:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 lösche noch mal:

13 Jul 2008 14:09:12 45.056 A.... "C:\Windows\System32\acovcnt.exe"

dann berichte, wie es läuft.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 06:24
Member

Themenstarter

Beiträge: 61
#17 ist immer noch wie vorher
Seitenanfang Seitenende
14.07.2008, 11:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 1.
mache bitte einen Onlinescan mit bitdefender , lasse alles entfernen, was gefunden wird + poste hier den report
http://virus-protect.org/artikel/tools/bitdefender.html

2.
lade otscanit - poste den report
http://virus-protect.org/artikel/tools/otscanit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 16:43
Member

Themenstarter

Beiträge: 61
#19 der online scan funktioniert nicht. als erste fehlermeldung kommt, dass der IE bei mir keine "administrative privileges" hat und wenn ich dann auf ok klicke kommt noch hinzu: "This website is not authorized to host this ActivX control"
und dieses activeX ist übrigens das was ich eigentlich runterladen wollte, wodurch das hier eig erst zustande gekommen ist...

aber das otscanit hat funktioniert (anhang)

Anhang: OTScanIt.Txt
Seitenanfang Seitenende
14.07.2008, 18:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 das hier ist auf dem Rechner:
http://www.avira.com/de/threats/section/fulldetails/id_vir/4225/tr_spy.banker.aatz.3.html

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere in das weisse feld

Zitat

Files to delete:
%SYSDIR%\msupdate.dll
C:\Windows\system32\msiesetup.exe
C:\Windows\System32\acovcnt.exe
%SystemRoot%\System32\amp.ini
%SystemRoot%\System32\c__0593.nls
%SystemRoot%\System32\c__10983.nls
%SystemRoot%\System32\c__2303.nls
%SystemRoot%\System32\c__23732.nls
%SystemRoot%\System32\c__3478.nls
%SystemRoot%\System32\c__3480.nls
%SystemRoot%\System32\c__3481.nls
%SystemRoot%\System32\c__3482.nls
%SystemRoot%\System32\c__34895.nls
%SystemRoot%\System32\c__374.nls
%SystemRoot%\System32\c__3948.nls

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

----------

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

--------
««
lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,

_______________________________________________________________________

ist für mich:

@Alternate Data Stream - 129 bytes -> %AllUsersProfile%\TEMP:0A73A758
@Alternate Data Stream - 111 bytes -> %AllUsersProfile%\TEMP:0D31DA45
@Alternate Data Stream - 110 bytes -> %AllUsersProfile%\TEMP:11201333
@Alternate Data Stream - 115 bytes -> %AllUsersProfile%\TEMP:321901CF
@Alternate Data Stream - 113 bytes -> %AllUsersProfile%\TEMP:33ED3116
@Alternate Data Stream - 115 bytes -> %AllUsersProfile%\TEMP:3B3A35EC
@Alternate Data Stream - 135 bytes -> %AllUsersProfile%\TEMP:4F58D818
@Alternate Data Stream - 107 bytes -> %AllUsersProfile%\TEMP:580E04D8
@Alternate Data Stream - 124 bytes -> %AllUsersProfile%\TEMP:81C88EA7
@Alternate Data Stream - 124 bytes -> %AllUsersProfile%\TEMP:8AB6C1D7
@Alternate Data Stream - 118 bytes -> %AllUsersProfile%\TEMP:93C494CA
@Alternate Data Stream - 119 bytes -> %AllUsersProfile%\TEMP:9B52F176
@Alternate Data Stream - 109 bytes -> %AllUsersProfile%\TEMP:BA41EC1A
@Alternate Data Stream - 132 bytes -> %AllUsersProfile%\TEMP:C90E8309
@Alternate Data Stream - 111 bytes -> %AllUsersProfile%\TEMP:CE253B51
@Alternate Data Stream - 98 bytes -> %AllUsersProfile%\TEMP;)D874E14
@Alternate Data Stream - 106 bytes -> %AllUsersProfile%\TEMP;)FC5A2B2
@Alternate Data Stream - 116 bytes -> %AllUsersProfile%\TEMP:F65733F1
--------
C:\ProgramData\TEMP:0A73A758 129 bytes
C:\ProgramData\TEMP:0D31DA45 111 bytes
C:\ProgramData\TEMP:11201333 110 bytes
C:\ProgramData\TEMP:321901CF 115 bytes
C:\ProgramData\TEMP:33ED3116 113 bytes
C:\ProgramData\TEMP:3B3A35EC 115 bytes
C:\ProgramData\TEMP:4F58D818 135 bytes
C:\ProgramData\TEMP:580E04D8 107 bytes
C:\ProgramData\TEMP:81C88EA7 124 bytes
C:\ProgramData\TEMP:8AB6C1D7 124 bytes
C:\ProgramData\TEMP:93C494CA 118 bytes
C:\ProgramData\TEMP:9B52F176 119 bytes
C:\ProgramData\TEMP:BA41EC1A 109 bytes
C:\ProgramData\TEMP:C90E8309 132 bytes
C:\ProgramData\TEMP:CE253B51 111 bytes
C:\ProgramData\TEMP;)D874E14 98 bytes
C:\ProgramData\TEMP;)FC5A2B2 106 bytes
C:\ProgramData\TEMP:F65733F1 116 bytes
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 18:26
Member

Themenstarter

Beiträge: 61
#21 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "%SYSDIR%\msupdate.dll"
Deletion of file "%SYSDIR%\msupdate.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: file "C:\Windows\system32\msiesetup.exe" not found!
Deletion of file "C:\Windows\system32\msiesetup.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\acovcnt.exe" not found!
Deletion of file "C:\Windows\System32\acovcnt.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Windows\System32\amp.ini" deleted successfully.
File "C:\Windows\System32\c__0593.nls" deleted successfully.
File "C:\Windows\System32\c__10983.nls" deleted successfully.
File "C:\Windows\System32\c__2303.nls" deleted successfully.
File "C:\Windows\System32\c__23732.nls" deleted successfully.
File "C:\Windows\System32\c__3478.nls" deleted successfully.
File "C:\Windows\System32\c__3480.nls" deleted successfully.
File "C:\Windows\System32\c__3481.nls" deleted successfully.
File "C:\Windows\System32\c__3482.nls" deleted successfully.
File "C:\Windows\System32\c__34895.nls" deleted successfully.
File "C:\Windows\System32\c__374.nls" deleted successfully.
File "C:\Windows\System32\c__3948.nls" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


das andere kann ich nicht im abgesicherten modus starten...soll ich das dann normal machen?
Seitenanfang Seitenende
14.07.2008, 18:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 nein, sdfix , so wie ich die Anwendung will, funktioniert nur im abgesicherten modus
was klappt denn nicht ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 18:49
Member

Themenstarter

Beiträge: 61
#23 also, ich habs runtergeladen, hab den laptop neu gestartet in den abgesicherten modus. hab den ordner geöffnet und doppelklck auf runthis. dann erscheint ein fenster, das aber sofort wieder verschwindet (wirklich nur so kurz dass man nur den umriss sieht).
Seitenanfang Seitenende
14.07.2008, 19:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Hallo,

http://virus-protect.org/streams.html
ADSSpy.exe laden

ADSSpy.exe
- Quick scan
- Ignore system info data streams
- Calculate MD5 checksums of streams' contents

wenn der Scan beendet ist, klicke mit der rechten Maustaste auf das Fenster
Save scan results to disk

nenne die textdatei (z.B) scan.txt -> speichern
nun erscheint auf dem Bildschirm : ADS Spy -> mit der rechten Maustaste den Text markieren -> hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 19:31
Member

Themenstarter

Beiträge: 61
#25 das einzige was kommt, wenn ich das mache ist das: "Scan coplete, found 0 alternate data streams (ADS's)."
Seitenanfang Seitenende
14.07.2008, 19:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 du hast zwar den kaspersky geladen, dennoch:
mache mal einen Onlinescan mit Kaspersky ...alles prüfen lassen + poste dann den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 22:32
Member

Themenstarter

Beiträge: 61
#27 -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
2008-07-14 22:18
Betriebssystem: Microsoft Windows Vista Home Edition, (Build 6000)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 14/07/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 953231
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 90747
Viren gefunden: 1
Infizierte Objekte gefunden: 1
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:53:01

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Program Files\InstallShield Installation Information\{139B0FFA-187E-4BA1-BCA6-6B56B2B6AB8C}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{6324A1EF-CEF4-43E3-8BCD-9EF3F67317FD}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{DE10AB76-4756-4913-BE25-55D1C1051F9A}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\Program Files\InstallShield Installation Information\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}\setup.ilg Das Objekt ist gesperrt übersprungen
C:\ProgramData\Kaspersky Lab\~PRCustomProps#165.dat Das Objekt ist gesperrt übersprungen
C:\ProgramData\Kaspersky Lab\~PRObjects#165.dat Das Objekt ist gesperrt übersprungen
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\1d3be87672b2f804891b5958ba7d72d0_28d4e350-09fb-49df-baab-f333480a8143 Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012008071420080715\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\History\Low\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\History\Low\History.IE5\MSHist012008071420080715\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\UsrClass.dat{608aad49-3e24-11dd-9d80-001d60e58ba7}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\UsrClass.dat{608aad49-3e24-11dd-9d80-001d60e58ba7}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\UsrClass.dat{608aad49-3e24-11dd-9d80-001d60e58ba7}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Microsoft\Windows Sidebar\Settings.ini Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Mozilla\Firefox\Profiles\f7ad5old.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Mozilla\Firefox\Profiles\f7ad5old.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Mozilla\Firefox\Profiles\f7ad5old.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Local\Mozilla\Firefox\Profiles\f7ad5old.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Roaming\Microsoft\Windows\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Roaming\Microsoft\Windows\Cookies\Low\index.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\QUAR1.42528 Infizierte Objekte: not-a-virus:FraudTool.Win32.UltimateAntivirus.o übersprungen
C:\Users\Batteux\AppData\Roaming\Mozilla\Firefox\Profiles\f7ad5old.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Roaming\Mozilla\Firefox\Profiles\f7ad5old.default\flashgot.log Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Roaming\Mozilla\Firefox\Profiles\f7ad5old.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Roaming\Mozilla\Firefox\Profiles\f7ad5old.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Roaming\Mozilla\Firefox\Profiles\f7ad5old.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Roaming\Mozilla\Firefox\Profiles\f7ad5old.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Roaming\Mozilla\Firefox\Profiles\f7ad5old.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\AppData\Roaming\Mozilla\Firefox\Profiles\f7ad5old.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\ntuser.dat.LOG1 Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\ntuser.dat.LOG2 Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Users\Batteux\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\bthservsdp.dat Das Objekt ist gesperrt übersprungen
C:\Windows\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\Windows\Debug\sam.log Das Objekt ist gesperrt übersprungen
C:\Windows\Debug\WIA\wiatrace.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\CBS\CBS.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\CBS\CBS.persist.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\DPX\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\Logs\DPX\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\MEMORY.DMP Das Objekt ist gesperrt übersprungen
C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe.config Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\diagerr.xml Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\diagwrn.xml Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\Panther\UnattendGC\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\security\database\secedit.sdb Das Objekt ist gesperrt übersprungen
C:\Windows\SoftwareDistribution\EventCache\{38DE6F40-BB7E-4F5F-9535-3CC466A88DD9}.bin Das Objekt ist gesperrt übersprungen
C:\Windows\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\edb.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\COMPONENTS Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\COMPONENTS.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\COMPONENTS.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\DEFAULT.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\DEFAULT.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SAM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SAM.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SAM.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SECURITY.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SECURITY.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SOFTWARE.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SOFTWARE.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SYSTEM.LOG1 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\SYSTEM.LOG2 Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.0.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.1.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.2.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101A}.TxR.3.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834b7-750c-494d-bdc3-da86b6e2101a}.TxR.blf Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TM.blf Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000001.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000002.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000003.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\config\TxR\{250834B7-750C-494d-BDC3-DA86B6E2101B}.TMContainer00000000000000000004.regtrans-ms Das Objekt ist gesperrt übersprungen
C:\Windows\System32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen
C:\Windows\System32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\drivers\fidbox2.dat Das Objekt ist gesperrt übersprungen
C:\Windows\System32\drivers\fidbox2.idx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\Scm\SCM.EVM Das Objekt ist gesperrt übersprungen
C:\Windows\System32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
C:\Windows\System32\restore\MachineGuid.txt Das Objekt ist gesperrt übersprungen
C:\Windows\System32\spool\SpoolerETW.etl Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\diagerr.xml Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\diagwrn.xml Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\setupact.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\sysprep\Panther\setuperr.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\AutoRecover\E478A5DB75C9721E744C05D78DBACFD3.mof Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Logs\WMITracing.log Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\Windows\System32\wbem\Repository\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\ACEEventLog.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Application.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\DFS Replication.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\HardwareEvents.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Internet Explorer.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Key Management Service.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Media Center.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Networking%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DiskDiagnosticDataCollector%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-International%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-LanguagePackSetup%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-MUI%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ParentalControls%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Program-Compatibility-Assistant%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReliabilityAnalysisComponent%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-RemoteAssistance%4Admin.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-RemoteAssistance%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Resolver%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Leak-Diagnostic%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-RestartManager%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-UAC%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-UAC-FileVirtualization%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Winsock-WS2HELP%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Microsoft-Windows-WLAN-AutoConfig%4Operational.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\ODiag.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\OSession.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Security.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\Setup.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\System32\winevt\Logs\System.evtx Das Objekt ist gesperrt übersprungen
C:\Windows\Tasks\SCHEDLGU.TXT Das Objekt ist gesperrt übersprungen
C:\Windows\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\Windows\winsxs\x86_microsoft-windows-n..n_service_datastore_31bf3856ad364e35_6.0.6000.16386_none_cef7ceb03914a67f\dnary.xsd Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.


ich weiß jetzt nicht ob das alles ist...
Seitenanfang Seitenende
14.07.2008, 23:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 kaspersky hat nur den Quarantäneordner von Malwarebytes gefunden.

SDFIX
im Normalmodus
RunThis.bat doppelt klicken

reinschreiben: 3
3 : wird Sophos geladen




sophos ist installiert:
bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien

"SophosReport.txt" (im SDFix-Ordner) - abkopieren und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.07.2008, 00:10
Member

Themenstarter

Beiträge: 61
#29 Sophos Anti-Virus
Version 4.31.0 [Win32/Intel]
Virus data version 4.31E, July 2008
Includes detection for 446894 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

Full Scanning

Could not open C:\hiberfil.sys
Could not open C:\pagefile.sys
Could not open C:\System Volume Information\{03894b9e-5008-11dd-b83d-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{03894bb0-5008-11dd-b83d-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{05bf1e3d-4faa-11dd-b84c-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{231c678d-51c1-11dd-a2db-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{2a48e404-5006-11dd-b952-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{2a48e40c-5006-11dd-b952-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{49b322af-4fac-11dd-887c-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{660ab40e-4d53-11dd-8883-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{660ab41e-4d53-11dd-8883-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{660ab44b-4d53-11dd-8883-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{8057e063-510f-11dd-a7cc-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{92864be6-4a83-11dd-8ac1-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{9d4b2359-4fee-11dd-98e1-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{9d4b2373-4fee-11dd-98e1-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{9d4b2392-4fee-11dd-98e1-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{bed046e0-50d9-11dd-b77e-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\System Volume Information\{c8059df9-5027-11dd-9ed3-001d60e58ba7}{3808876b-c176-4e48-b7ae-04046e6cc752}
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\AppData\Local\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\
Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Anwendungsdaten\Temp\hsperfdata_Batteux\2840
Could not open C:\Users\Batteux\Lokale Einstellungen\Temp\hsperfdata_Batteux\2840
Could not open C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
Could not open C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Could not open C:\Windows\System32\config\COMPONENTS
Could not open C:\Windows\System32\config\RegBack\COMPONENTS
Could not open C:\Windows\System32\config\RegBack\DEFAULT
Could not open C:\Windows\System32\config\RegBack\SAM
Could not open C:\Windows\System32\config\RegBack\SECURITY
Could not open C:\Windows\System32\config\RegBack\SOFTWARE
Could not open C:\Windows\System32\config\RegBack\SYSTEM

2 boot sectors swept.
46178 files swept in 37 minutes and 25 seconds.
53 errors were encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
15.07.2008, 00:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 wie viele Anwendungsdaten hast auf dem Rechner ???
Sowas hab ich noch nie gesehen.....

die Scanner finden nichts mehr, du kannst nur noch eine Systemwiederherstellung versuchen - möglichst auf einen Tag VOR der Verseuchung

Um zu den Einstellungen für die Systemwiederherstellung von Vista zu gelangen, klicke auf "Start/Systemsteuerung/Sicherung und Wiederherstellen".
Klicke links auf "Wiederherstellungspunkt erstellen oder Einstellungen ändern".

---------

dannach poste zum Überprüfen noch mal ein Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: