Trojaner entfernen |
||
|---|---|---|
| #0
| ||
|
29.07.2008, 18:45
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
30.07.2008, 10:39
Member
Themenstarter Beiträge: 12 |
#17
GuMo Sabina,
hat leider gedauert, aber immer sitze ich nicht am PC. Nun die Reports von Avira LG alfaseele Abgesicherter Modus Avira AntiVir Personal Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '35' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\Norton AntiVirus\Quarantine\144C24D3.exe [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\144C24D3.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.AG [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\144C24D3.tmp [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\144C24D3.tmp [FUND] Ist das Trojanische Pferd TR/Fakealert.AG [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c3eb09.qua' verschoben! C:\Programme\Norton AntiVirus\Quarantine\1567367F.exe [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\1567367F.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\1B781C16.tmp [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\1B781C16.tmp [FUND] Ist das Trojanische Pferd TR/Pakes.jtg [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\1C32754A.tmp [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\1C32754A.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\1D0D7259.tmp [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\1D0D7259.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48bfeb31.qua' verschoben! C:\Programme\Norton AntiVirus\Quarantine\21EC5B88.tmp [FUND] Ist das Trojanische Pferd TR/Hijacker.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\225F190A.tmp [FUND] Ist das Trojanische Pferd TR/Hijacker.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\22EE506C.tmp [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\22EE506C.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\26E10685.tmp [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\26E10685.tmp [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\37697F44.tmp [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\37956455.dll [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\37956455.dll [FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\3BBC623F.182 [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\3BBC623F.182 [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\4A5D4CDE.tmp [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\4A5D4CDE.tmp [1] Archivtyp: RSRC --> Object [FUND] Ist das Trojanische Pferd TR/Spy.Agent.crl [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\4A6176DA.tmp [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\4A6176DA.tmp [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.cfa [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\69386D58.dll [FUND] Ist das Trojanische Pferd TR/Downloader.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\6B0F48C7.sys [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\6B0F48C7.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\6EFF0ACC.tmp [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\6EFF0ACC.tmp [FUND] Ist das Trojanische Pferd TR/Spy.Agent.xag [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Norton AntiVirus\Quarantine\6F055EC5.tmp [0] Archivtyp: HIDDEN --> FIL\\\?\C:\Programme\Norton AntiVirus\Quarantine\6F055EC5.tmp [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.cmf [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Shareaza\Downloads\einfach spregstoff.ace [0] Archivtyp: ACE --> toolBar.exe [FUND] Ist das Trojanische Pferd TR/Dldr.IstBar.nj [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Shareaza\Downloads\Orvell Monitoring 2005 3.00 Deutsch Serial.exe [0] Archivtyp: RAR SFX (self extracting) --> Orvell Monitoring 2005 3.00-deutsch.exe [1] Archivtyp: ZIP SFX (self extracting) --> svchost.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [HINWEIS] Die Datei wurde gelöscht. C:\Programme\Shareaza\Downloads\Orvell Monitoring 2005 3.00-deutsch.exe [0] Archivtyp: ZIP SFX (self extracting) --> svchost.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <Backup> Beginne mit der Suche in 'E:\' <RECOVER> Ende des Suchlaufs: Mittwoch, 30. Juli 2008 08:10 Benötigte Zeit: 6:41:54 min Der Suchlauf wurde vollständig durchgeführt. 6744 Verzeichnisse wurden überprüft 505915 Dateien wurden geprüft 20 Viren bzw. unerwünschte Programme wurden gefunden 2 Dateien wurden als verdächtig eingestuft 20 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 505895 Dateien ohne Befall 2526 Archive wurden durchsucht 5 Warnungen 22 Hinweise Normaler Modus Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 30. Juli 2008 08:21 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '37' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1425\A0265397.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1455\A0273420.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1455\A0273429.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1455\A0273432.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273869.exe [0] Archivtyp: HIDDEN --> FIL\\\?\C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273869.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.AG [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273870.exe [0] Archivtyp: HIDDEN --> FIL\\\?\C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273870.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273871.dll [0] Archivtyp: HIDDEN --> FIL\\\?\C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273871.dll [FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273872.dll [FUND] Ist das Trojanische Pferd TR/Downloader.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273873.sys [0] Archivtyp: HIDDEN --> FIL\\\?\C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273873.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273874.exe [0] Archivtyp: RAR SFX (self extracting) --> Orvell Monitoring 2005 3.00-deutsch.exe [1] Archivtyp: ZIP SFX (self extracting) --> svchost.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1458\A0273875.exe [0] Archivtyp: ZIP SFX (self extracting) --> svchost.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <Backup> D:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1455\A0273421.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{0815D400-5F54-4A05-BD67-A6CCCB7B235D}\RP1455\A0273422.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'E:\' <RECOVER> Ende des Suchlaufs: Mittwoch, 30. Juli 2008 10:27 Benötigte Zeit: 2:07:20 min Der Suchlauf wurde vollständig durchgeführt. 7034 Verzeichnisse wurden überprüft 515582 Dateien wurden geprüft 11 Viren bzw. unerwünschte Programme wurden gefunden 2 Dateien wurden als verdächtig eingestuft 13 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 515571 Dateien ohne Befall 2533 Archive wurden durchsucht 6 Warnungen 13 Hinweise |
|
|
|
|
|
|
30.07.2008, 11:29
Ehrenmitglied
Beiträge: 29434 |
#18
Hallo alfaseele
0. entferne mit Avenger http://virus-protect.org/artikel/tools/avenger.html Zitat Folders to delete:danach entferne Avenger + backup + leere den Papierkorb 1. aktiviere den Norton wieder entferne die Quarantäne vom Norton 2. deinstalliere oder deaktiviere Antivirus (man sollte nicht zwei Virenscanner aktiv haben) 3. Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann das Häkchen wieder rausnehmen.(also wieder aktivieren) 4. scanne Online mit Kaspersky + poste den report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
30.07.2008, 22:22
Member
Themenstarter Beiträge: 12 |
#19
Hallo Sabina,
der Scan hat ja ewig gedauert und ... mit Kaspersky ging es nicht, es öffnete sich Active Scan. Gleich vorweg: Auf meinem PC wird für Norton Antivirus und Firewall "aktiviert" angezeigt, obwohl im Scan con Active Scan bemerkt wird, dass Norton disabled ist. Das Format des files ist nicht passend für hier. Werde den Bericht deswegen als Text anhängen. LG alfaseele Anhang: ActiveScan.txt
|
|
|
|
|
|
|
30.07.2008, 22:42
Ehrenmitglied
Beiträge: 29434 |
#20
Hallo alfaseele
es wurde noch ein Eintrag vom Systemrestore gefunden: vom: Rootkit/Booto.C du solltest doch die Systemwiederherstellung deaktivieren..... «« systemscan http://virus-protect.org/artikel/tools/systemscan.html hake nur an: + poste den report Showing files newer than 60 days RUSTOCK ROOTKIT DETECTION MASTER BOOT RECORD SUSPICIOUS FILES __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
31.07.2008, 09:18
Member
Themenstarter Beiträge: 12 |
#21
Hallo Sabina,
ich hatte die Systemwiederherstellung nach deinen anweisungen deaktiviert und gleich wieder aktiviert. Wie vorgegeben. Hier nun der report vom Systemscan als Anhang. LG alfaseele Anhang: report.txt
|
|
|
|
|
|
|
31.07.2008, 13:06
Ehrenmitglied
Beiträge: 29434 |
#22
Hallo, alfaseele
1. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)2. Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k  3. http://virus-protect.org/artikel/tools/mbr.html Download mbr.exe zum Desktop Doppelklick mbr.exe um das Tool zu starten Es wird ein Log erstellt und poste dessen Inhalt in deinen Beitrag 4. poste ein neues log vom Hijackthis http://virus-protect.org/hjtkurz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
31.07.2008, 22:37
Member
Themenstarter Beiträge: 12 |
#23
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 1 ! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:36:10, on 31.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Personal Firewall\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Dit.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Registry Defragmentation\RegManServ.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\HP\hpcoretech\comp\hptskmgr.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE D:\Dokumente und Einstellungen\Ludwig\Eigene Dateien\Exe-Dateien\HJT\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ilove.de/dtf/register/validateEmailVpin.do?vpin=2147591219-1002299935 O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user') O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {02CA9974-B6AC-497E-A371-73580432B0F6} (Eyeball Video Message Control) - http://wildmatch.com/ChatSource/hVideoContol.cab O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1208082504906 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.de/clients/uploader_v2.2.0.6.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/operator/90000003/activex/IPSUploader.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe -- End of file - 10696 bytes Hallo Sabina der MBR war aber sehr kurz .... ebenso der HJThis LG alfaseele |
|
|
|
|
|
|
01.08.2008, 23:35
Ehrenmitglied
Beiträge: 29434 |
#24
Hallo,alfaseele
es sollte soweit wieder alles i.o. sein. dennoch ist der Rechner kompromitiert (siehe Rootkits). Ich empfehle dir, bei Gelegenheit alles zu sichern und dann zu formatieren. Vielleicht machst du dich mal schlau über Backup-Software, da spielt man einfach das Image ein und fertig. Beispiel: True Image http://virus-protect.org/artikel/tools/trueimage.html wenn es noch Probleme geben sollte, melde dich __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
lösche alle Folder von Sophos und Norman
1.
lass den Norton weiterhin deaktiviert....(weiss nicht, was der auf deinem Rechner macht....die viren finden auf jeden Fall nicht....
lade Antivirus (free)
http://virus-protect.org/antivirus.html
boote in den abgesicherten modus
Heuristik-Einstellung:
Erkennungsstufe "hoch" einstellen - (Expertenmodus anhaken)
und scanne + poste den report
-------------
wenn das erledigt ist, deinstalliere den Avira wieder, aktiviere wieder den Norton, scanne auch im abgesicherten Modus und berichte, ob noch was angezeigt wird.
__________
MfG Sabina
rund um die PC-Sicherheit