Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: HTML-Scriptvirus durch registri key entfernen löschen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.09.2008, 18:12   #1
babbasnoob
 
HTML-Scriptvirus durch registri key entfernen löschen? - Standard

HTML-Scriptvirus durch registri key entfernen löschen?



Hi,
da ich meistens nur über ein VM-Ware Linux System im Netz gesürft habe hatte ich bisher noch keine probleme mit Viren (jedenfalls hab ich nix davon mitbekommen)
seid einiger Zeit hat sich das anscheinend geändert.

Antivir sagt folgendes:
C:\System Volume Information\_restore{4BE8F403-4131-49AC-BFD3-B1A5CFA547FE}\RP126\change.log.2
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 493cc7cf.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b01b5b0.qua erstellt ( QUARANTÄNE )

Allerdings scheint das nicht zu funktionieren (in Quarantäne stecken) da Antivier das bei jedem Scan sagt. Ich hab mal in der registri nach dem Schlüssel gesucht und den unter --> SystemRestore --> Cfg "MaschineGuid" gefunden.
Ich habe bereits mehrer Beiträge hier bei euch im Forum zu ähnlichen Problemen gelesen möchte aber nicht mehrere Tools downloaden und installieren. Deswegen meine Frage: kann ich einfach den regestri Key löschen?
Soweit ich das beurteilen kann sollte es sich hierbei ja "nur" um Systemwiederherstellung handeln und die würde mir ja eh nix bringen da mein System ja verseucht ist.
Allerdings habe ich auf dem Gebiet kaum Ahnung und hoffe ich krieg diesbezüglich Input von euch.
Ausser der Meldung von Antivir verhält sich mein System absolut normal.

Hier noch der Komplette Antivir Report:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 25. September 2008 19:04

Es wird nach 1643726 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: der Name halt

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 21:46:59
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 21:46:59
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 21:46:59
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 21:46:59
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 22:33:44
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 16:37:41
ANTIVIR3.VDF : 7.0.6.213 446464 Bytes 25.09.2008 16:57:43
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 16:37:06
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 21:46:07
AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 16:37:06
AEPACK.DLL : 8.1.2.3 364918 Bytes 24.09.2008 19:15:44
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 16:37:05
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 16:37:05
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 19:12:06
AEGEN.DLL : 8.1.0.36 315764 Bytes 19.08.2008 16:08:10
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 14:41:49
AECORE.DLL : 8.1.1.11 172406 Bytes 03.09.2008 20:36:32
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 21:47:00
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 21:46:59
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 21:46:59
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 14:41:48
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 21:46:59
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 21:46:59
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 21:46:59
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 21:46:58
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 21:46:58

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, G:, J:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: aus
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+SPR,

Beginn des Suchlaufs: Donnerstag, 25. September 2008 19:04

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '48656' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hqtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmware-authd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmnetdhcp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmnat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vmount2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTSRVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '55' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{4BE8F403-4131-49AC-BFD3-B1A5CFA547FE}\RP126\change.log.2
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 493cc7cf.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b01b5b0.qua erstellt ( QUARANTÄNE )
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'E:\' <VMware>
Beginne mit der Suche in 'F:\' <VM_Vista>
Beginne mit der Suche in 'G:\' <Backup>
Beginne mit der Suche in 'J:\' <Daten II>


Ende des Suchlaufs: Donnerstag, 25. September 2008 19:34
Benötigte Zeit: 29:35 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

10976 Verzeichnisse wurden überprüft
495452 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
495450 Dateien ohne Befall
3013 Archive wurden durchsucht
5 Warnungen
1 Hinweise
48656 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

dann sag ich schon mal danke und hoffe ihr könnt mir helfen.
grüssle

Alt 26.09.2008, 18:37   #2
nochdigger
 
HTML-Scriptvirus durch registri key entfernen löschen? - Standard

HTML-Scriptvirus durch registri key entfernen löschen?



Hallo

dein Fund befindet sich nicht in der Registry sondern in der Systemwiederherstellung.
So solltest du ihn loswerden
Zitat:
deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.
anschließend führe ein Update deines Antivireprogramms durch und überprüfe dein System, dann berichte nochmal.

MFG
__________________

__________________

Alt 26.09.2008, 21:20   #3
babbasnoob
 
HTML-Scriptvirus durch registri key entfernen löschen? - Standard

HTML-Scriptvirus durch registri key entfernen löschen?



danke @nochdigger für die schnelle antwort und --> anscheinend bin ich wieder vierenfrei!
nur verstehen tu ich´s net so ganz. aber dazu muss ich mich wohl erst mal in die systemwiederherstellung einlesen.
bin auf jeden fall von diesem forum begeister!
__________________

Alt 26.09.2008, 21:25   #4
babbasnoob
 
HTML-Scriptvirus durch registri key entfernen löschen? - Standard

HTML-Scriptvirus durch registri key entfernen löschen?



wer lesen kann ist klar im vorteil.
In deinem Link war´s ja ausführlich drin gestanden:

"Wenn ein Computer mit einem Virus, Wurm oder Trojanischen Pferd infiziert ist, wurde die infizierte Datei möglicherweise in die Sicherung mit einbezogen. Nachdem ein Virenscanner den Rechner gesäubert hat, und dieser neu gestartet wurde, kopiert die Systemwiederherstellung von Windows die infizierte Datei wieder zurück in das eben gesäuberte System, da es die Änderung durch den Virenscanner entdeckt und diesen "Fehler" ausgleichen will.
Durch das Deaktivieren der Systemwiederherstellung werden alle gesicherten Systemzustände gelöscht! Ein Wiederherstellen einer infizierten, gesicherten Datei ist damit nicht mehr möglich.
Nach der Entfernung des Virus bzw. Wurms muss die Systemwiederherstellung wieder aktiviert werden."

Alt 26.09.2008, 21:37   #5
nochdigger
 
HTML-Scriptvirus durch registri key entfernen löschen? - Standard

HTML-Scriptvirus durch registri key entfernen löschen?



Hallo

Zitat:
wer lesen kann ist klar im vorteil.
In deinem Link war´s ja ausführlich drin gestanden:
Jupp
ich rate dir, jetzt einen neuen Wiederherstellungspunkt anzulegen um auf diesen wiederherstellen zu können, wenn nötig.

Zitat:
bin auf jeden fall von diesem forum begeister!
Schön zu hören


MFG

__________________
Kein Support per PN - Bitte im Forum posten.

Alt 26.09.2008, 22:48   #6
babbasnoob
 
HTML-Scriptvirus durch registri key entfernen löschen? - Standard

HTML-Scriptvirus durch registri key entfernen löschen?



hab einen Wiederherstellungspunkt angelegt und danach auch mal ausprobiert. funzt super! ( ja ich hab dieses feature noch nie ausprobiert )
Dazu nochmal eine Frage:
wenn ich den ungefähren zeitpunkt eines virenbefalls weiß könnt ich dann über eben diese Systemwiederherstellung den befall rückgängig machen?
oder kommt das auf die art des befalls an und kann man so pauschal nicht sagen?
mfg

Alt 27.09.2008, 04:57   #7
nochdigger
 
HTML-Scriptvirus durch registri key entfernen löschen? - Standard

HTML-Scriptvirus durch registri key entfernen löschen?



Hallo

Zitat:
wenn ich den ungefähren zeitpunkt eines virenbefalls weiß könnt ich dann über eben diese Systemwiederherstellung den befall rückgängig machen?
oder kommt das auf die art des befalls an und kann man so pauschal nicht sagen?
Richtiger Weg, aber wie du es dir gedacht hast, es kommt in der Tat auf die Art des Befalls an.
Bei einigen Schädlingen ist es möglich, einen Versuch ist es immer wert.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Antwort

Themen zu HTML-Scriptvirus durch registri key entfernen löschen?
.dll, avg, avgnt.exe, ccc.exe, ctfmon.exe, ellung, entfernen, eudora, frage, handel, jusched.exe, logon.exe, lsass.exe, löschen, löschen?, mehrere, modul, mom.exe, namen, nt.dll, programme, prozesse, registry, rthdcpl.exe, scan, services.exe, suchlauf, svchost.exe, system, system volume information, systemwiederherstellung, versteckte objekte, verweise, viren, virus, virus gefunden, vista, warnung, windows, winlogon.exe



Ähnliche Themen: HTML-Scriptvirus durch registri key entfernen löschen?


  1. HTML:Bankfraud-BYL durch Avast gefunden
    Log-Analyse und Auswertung - 26.10.2013 (7)
  2. Löschen HTML/Iframe.B.Gen
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (1)
  3. HTML-Scriptvirus HTML/Crypted.Gen
    Plagegeister aller Art und deren Bekämpfung - 18.01.2012 (9)
  4. Virenfund !! HTML Scriptvirus HTML/Dldr.Dawn.X1 Was tun?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2011 (25)
  5. TR/Kazy.12044.psa und HTML Scriptvirus HTML/Infected.WebPage.Gen
    Plagegeister aller Art und deren Bekämpfung - 14.02.2011 (1)
  6. Wie entferne ich HTML-Scriptvirus HTML/Drop.Agent.AB & W32/Ramnit.A
    Plagegeister aller Art und deren Bekämpfung - 10.12.2010 (32)
  7. HTML-Scriptvirus HTML/Crypted.Gen
    Log-Analyse und Auswertung - 28.06.2010 (3)
  8. Fund eines html-scriptvirus/silly.gen
    Log-Analyse und Auswertung - 23.09.2009 (1)
  9. HTML/Infected.WebPage.Gen durch Forum
    Log-Analyse und Auswertung - 26.07.2009 (2)
  10. HTML Scriptvirus HTML/Crypted.Gen
    Log-Analyse und Auswertung - 08.03.2009 (3)
  11. HTML-Scriptvirus HTML/Crypted.Gen
    Plagegeister aller Art und deren Bekämpfung - 09.12.2008 (1)
  12. 8 mal svchost.exe,1 mit fund von html-scriptvirus
    Plagegeister aller Art und deren Bekämpfung - 03.11.2008 (6)
  13. Scriptvirus ?! html/rce.gen
    Plagegeister aller Art und deren Bekämpfung - 15.09.2008 (23)
  14. HTML-Scriptvirus HTML/Rce.Gen bei AntiVirScan gefunden!
    Plagegeister aller Art und deren Bekämpfung - 07.08.2008 (3)
  15. HTML-Scriptvirus HTML/Dldr.Age.48568
    Plagegeister aller Art und deren Bekämpfung - 06.04.2007 (5)
  16. Fehler durch ungültige Seite/sp.html/se.dll?
    Plagegeister aller Art und deren Bekämpfung - 13.05.2005 (9)
  17. HTML-Scriptvirus HTML/LowZones.AP
    Log-Analyse und Auswertung - 08.05.2005 (5)

Zum Thema HTML-Scriptvirus durch registri key entfernen löschen? - Hi, da ich meistens nur über ein VM-Ware Linux System im Netz gesürft habe hatte ich bisher noch keine probleme mit Viren (jedenfalls hab ich nix davon mitbekommen) seid einiger - HTML-Scriptvirus durch registri key entfernen löschen?...
Archiv
Du betrachtest: HTML-Scriptvirus durch registri key entfernen löschen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.