Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus im Archiv

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.12.2004, 16:35   #1
Pudarusa
 
Virus im Archiv - Standard

Virus im Archiv



Sevus.
ich habe gestern 5 Viren oder andere gefährliche Programme auf meinem PC gefunden. Mein AntiVir kann sie nicht löschen, da sie in einem Archiv sind. Ich habe mir vorhin HijackThis herrunter geladen, weis aber nicht allzuviel damit anzufangen. Hier folgt gleich der HijackThis scann. Ich hoffe mir kann jemand helfen. Ich habe im übrigen net wirklich viel Ahnung von PCs also wär es schön wenn man mir die zu erledigen Schritte vereinfacht erklären könnte.

Logfile of HijackThis v1.98.2
Scan saved at 17:30:19, on 08.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\DOKUME~1\Paddi\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bademeister89.de.vu/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem216.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Verknüpfung mit AVGNT.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Startup: Verknüpfung mit AVGUARD.lnk = C:\Programme\AVPersonal\AVGUARD.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/...64106/thin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094052312937
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1


Vielen Dank schonmal.
Mfg.
Pudarusa

Alt 08.12.2004, 17:48   #2
Cidre
Administrator, a.D.
 
Virus im Archiv - Standard

Virus im Archiv



Hallo,

poste mal den genauen Pfad der einzelnen Funde.

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem216.dll (file missing)
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...T64106/thin.cab

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________

__________________

Alt 11.12.2004, 20:40   #3
Pudarusa
 
Virus im Archiv - Standard

Virus im Archiv



das kam bei eScan herraus:

File C:\WINDOWS\system32\intron.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\a[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\a[2].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[1].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[2].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[3].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[4].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\hornywetbabes[1].com infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\hornywetbabes[2].com infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\installer[1].htm infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\prompt[1].php infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\prompt[2].php infected by "TrojanDropper.JS.Gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\prompt[3].php infected by "TrojanDropper.JS.Gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\shellscript[1].js infected by "TrojanDownloader.Java.Small.b" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\shellscript[2].js infected by "TrojanDownloader.Java.Small.b" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\shellscript_loader[1].js infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: No Action Taken.



Und mein HijackThis sieht folgendermaßen aus:

Logfile of HijackThis v1.98.2
Scan saved at 21:37:24, on 11.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\eMule\emule.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\wisptis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Paddi\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bademeister89.de.vu/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit AVGNT.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Startup: Verknüpfung mit AVGUARD.lnk = C:\Programme\AVPersonal\AVGUARD.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094052312937
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1


Danke schonmal.
__________________

Alt 11.12.2004, 20:50   #4
chaosman
 
Virus im Archiv - Standard

Virus im Archiv



@Puderusa

lade dir hier clearprog
programm starten, alle häkchen bei windows und IE setzen, löschen.
dann bist du das meiste los.

den hier würde ich in abgesicherten modus manuell löschen
File C:\WINDOWS\system32\intron.exe infected by "Trojan.Win32.StartPage.lb" Virus
neu starten

chaosman
__________________
Bonus vir semper tiro

Alt 11.12.2004, 21:48   #5
Pudarusa
 
Virus im Archiv - Standard

Virus im Archiv



ich habe jetzt bei Windows alle häkchen gemacht und gelöscht. Beim löschen von den Tempo. Internet Files (Cache) im IE bleibt das programm allerdings immer hängen. Den rest konnte ich problemlos löschen........


Alt 11.12.2004, 21:52   #6
chaosman
 
Virus im Archiv - Standard

Virus im Archiv



@Pudarusa
kuckst du hier http://www.misitio.ch/ie/ie6/ie6tips.html

chaosman
__________________
--> Virus im Archiv

Alt 29.12.2004, 20:01   #7
Pudarusa
 
Virus im Archiv - Standard

Virus im Archiv



Sorry das ich mich solang net gemeldet habe. Hatte zuviel Stress.

Nur um nochmal genau nach zu fragen:
Das löschen von:

File C:\WINDOWS\system32\intron.exe infected by "Trojan.Win32.StartPage.lb" Virus

Da soll ich jetzt also unter system32 nach intron.exe schauen und den einfach löschen????

Weil mir das löschen unter dem Windows ordner ist mir net so ganz geheuer.
zumal ich mal meinen AntiVir über diese Datei habe laufen lassen und dieser mir nichts anzeigt.

Alt 29.12.2004, 20:08   #8
Cidre
Administrator, a.D.
 
Virus im Archiv - Standard

Virus im Archiv



Zitat:
Da soll ich jetzt also unter system32 nach intron.exe schauen und den einfach löschen????
Natürlich, solltest du diese Datei löschen. Eventuell musst du diese Einstellung vornehmen, damit diese Datei sichtbar wird:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Zitat:
zumal ich mal meinen AntiVir über diese Datei habe laufen lassen und dieser mir nichts anzeigt.
Wiederum ein Beweis dafür, das ein AV Scanner nur das finden kann, was er auch kennt. Darum sollte man sich nicht allzusehr auf ein AV Programm vertrauen.
__________________
Gruß, Cidre


Alt 29.12.2004, 20:21   #9
Pudarusa
 
Virus im Archiv - Standard

Virus im Archiv



Ich krieg gerade die Kriese.
Jetzt habe ich

des intron.exe ding gelöscht und jetzt zeigt mir eScan diesen Schmarn hier an:

File C:\WINDOWS\system32\internst32.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\internst32.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\internst32.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken.


Die waren vorher noch net da.

soll ich diese auch wieder löschen?? (dumme Frage natürlich) Aber das irritiert mich schon ein bissl.

Alt 29.12.2004, 20:25   #10
chaosman
 
Virus im Archiv - Standard

Virus im Archiv



@Pudarusa
kuckst du hier
http://sarc.com/avcenter/venc/data/p...artpage.b.html
in den abgesicherten modus wechseln und manuell löschen.
escan hat ein hohe erkennungsrate.

chaosman
__________________
Bonus vir semper tiro

Alt 29.12.2004, 20:31   #11
Cidre
Administrator, a.D.
 
Virus im Archiv - Standard

Virus im Archiv



Nur zum Verständnis:
Bist du mit dem kompromittierten Rechner im Moment online?
Wenn JA, dann schleunigst alle beenden und in den abgesicherten Modus wechseln. Sonst werden sich noch mehr Datei urplötzlich erstellen!
__________________
Gruß, Cidre


Alt 29.12.2004, 20:35   #12
Pudarusa
 
Virus im Archiv - Standard

Virus im Archiv



sorry aber das Versteh ich jetzt gerade net so wirklich.

was ich jetzt mit dem Link anfangen soll hab ich auch keine Ahnung.

Also soll ich jetzt in den Abgesicherten Modus wechseln und diese 3 datein löschen?

Alt 29.12.2004, 20:44   #13
chaosman
 
Virus im Archiv - Standard

Virus im Archiv



@Pudarusa
warum postet man links?
zum nachlesen.

Also soll ich jetzt in den Abgesicherten Modus wechseln und diese 3 datein löschen?
wie Cidre schon postete, so schnell wie möglich!
chaosman
__________________
Bonus vir semper tiro

Alt 29.12.2004, 21:02   #14
Pudarusa
 
Virus im Archiv - Standard

Virus im Archiv



Ja entschuldigung, das ich wegen dem Link nochmal nachgefragt habe mein Englisch ist net das beste habe erst net ganz gerafft, was mir das bringen sollte.

Aber ich glaube, jetzt hat es geklappt.
Juchu Party!!!!!!

eScan zeigt mir nichts mehr an.

Hätte dann aber noch ne Frage:
Habe mir gestern auch die neue Version von HijackThis heruntergeladen und das dann mal mit der Automatischen Auswertung getestet. da kam bei mir aber bei raus, das einige Programme nicht erkannt werden konnten. Könntet ihr eventuell mal einen Blick darauf werfen?

Logfile of HijackThis v1.99.0
Scan saved at 21:55:30, on 29.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Paddi\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.selfsearch.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Verknüpfung mit AVGNT.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Startup: Verknüpfung mit AVGUARD.lnk = C:\Programme\AVPersonal\AVGUARD.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094052312937
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Alt 29.12.2004, 21:08   #15
Cidre
Administrator, a.D.
 
Virus im Archiv - Standard

Virus im Archiv



Fixe diesen Eintrag:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.selfsearch.biz

Ansonsten sehe ich keine Auffälligkeiten mehr.
__________________
Gruß, Cidre


Antwort

Themen zu Virus im Archiv
.inf, adobe, antivir, bho, cs3, explorer, file missing, hijack, hijackthis, home, internet, internet explorer, logfile, löschen, microsoft, object, programme, rundll, rundll32, scan, software, system, tcpip, temp, urlsearchhook, viren, virus, windows, windows messenger, windows xp



Ähnliche Themen: Virus im Archiv


  1. Trojaner "Trojan.Ransomlock.P" in Archiv.zip (Abrechnung Archiv.scr)
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (20)
  2. (2x)Trojaner "Trojan.Ransomlock.P" in Archiv.zip (Abrechnung Archiv.scr)
    Mülltonne - 10.06.2012 (1)
  3. Dropper.Gen im Archiv, Archiv gelöscht, besteht noch gefahr?
    Plagegeister aller Art und deren Bekämpfung - 10.05.2010 (1)
  4. Selbstentpackendes WinRar-Archiv
    Mülltonne - 04.08.2008 (0)
  5. Infizierte Datei im Archiv
    Plagegeister aller Art und deren Bekämpfung - 29.07.2005 (3)
  6. Archiv Header defekt
    Alles rund um Windows - 25.06.2005 (1)
  7. Hilfe! Hab nen heuristic/java download Virus in nem Archiv....
    Plagegeister aller Art und deren Bekämpfung - 06.05.2005 (1)
  8. Archiv
    Plagegeister aller Art und deren Bekämpfung - 24.04.2005 (2)
  9. Virus im Archiv
    Antiviren-, Firewall- und andere Schutzprogramme - 09.03.2005 (11)
  10. Trojaner Archiv
    Log-Analyse und Auswertung - 28.02.2005 (5)
  11. trojaner im archiv
    Log-Analyse und Auswertung - 14.02.2005 (5)
  12. Trojaner im Archiv
    Plagegeister aller Art und deren Bekämpfung - 28.01.2005 (1)
  13. habe trojaner im Archiv
    Plagegeister aller Art und deren Bekämpfung - 23.01.2005 (8)
  14. Viren im Archiv !!!!
    Plagegeister aller Art und deren Bekämpfung - 16.12.2004 (2)
  15. Trojaner in zip-Archiv!
    Plagegeister aller Art und deren Bekämpfung - 03.08.2004 (4)
  16. !dringend! TR/Briss.Spy.2 im archiv gefunden!
    Plagegeister aller Art und deren Bekämpfung - 28.03.2004 (3)

Zum Thema Virus im Archiv - Sevus. ich habe gestern 5 Viren oder andere gefährliche Programme auf meinem PC gefunden. Mein AntiVir kann sie nicht löschen, da sie in einem Archiv sind. Ich habe mir vorhin - Virus im Archiv...
Archiv
Du betrachtest: Virus im Archiv auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.