Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.11.2007, 17:28   #1
$TV
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Hallo,

ich hab seit ca 2 tagen folgendes Problem:
Mein Virenscanner (antivir) meldet eine schädliche/defekte Datei namens "pagefile.sys.vbs". Die Virenwarnung kommt vollkommen willkürlich, ohne einen
bestimmten Grund. Ich hab mich ein bisschen kundig gemacht und herausgefunden, dass es sich hierbei um die Auslagerungsdatei von Winxp handelt, und sie nach jedem reboot wieder neu erstellt wird. Das gilt aber nur für "pagefile.sys" das "vbs" dahinter hab ich bis jetzt noch nirgends gelesen. Kann aber auch unwichtig sein.

Neben der Fehlermeldung hab ich noch das Problem, dass sich meine Laufwerke nicht mehr mit einem normalen Doppelklick öffnen lassen, sondern nur noch mit "rechtsklick - öffnen". Bei einem Doppelklick kommt eine Windows Fehlermeldung:
"Die Skriptdatei"C:\pagefile.sys.vbs" wurde nicht gefunden."
Also insgesamt keine wirkliche Einschränkung aber irgendwie nervig.

Ich glaub ich hab den Virus aus meinem Hochschulnetzwerk, da ich dort von ähnlichen Problemen gehört hab.
Persönlich hab ich mir den Virus zwar nicht eingefangen, aber seitdem ich den USB stick meines Mitbewohners benutzt hab, bin ich auch infiziert.
Ich könnte natürlich auch den Systemadministrator der Hochschule mit dem Problem nerven, aber da ich hier schon des öfteren kompetente Hilfe bekommen habe, wende ich mich zuerst mal an euch. ;D

Hier noch mein HijackThis log:

--------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53:13, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\BitTorrent_DNA\dna.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Version Cue CS2] D:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\BitTorrent_DNA\dna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Games\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Games\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{49AE791C-E157-4F47-935E-FA1EE513EA08}: NameServer = 145.104.2.11,129.69.1.28
O17 - HKLM\System\CS1\Services\Tcpip\..\{49AE791C-E157-4F47-935E-FA1EE513EA08}: NameServer = 145.104.2.11,129.69.1.28
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - D:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
------------------

Wenn ihr noch andere Angaben wünscht, bitte sagen.

Also danke schon mal!

$TV

Alt 23.11.2007, 23:42   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Hallo.

Die Erweiterung .vbs steht für VB-Scripte. Da scheint dir irgendwie ein bösartiges Script untergejubelt worden zu sein, denn gutartige tarnen sich nicht als Auslagerungsdatei pagefile.sys.

Dein HJT-Log sieht soweit sauber aus, mir ist aber diese IP darin aufgefallen:

Code:
ATTFilter
145.104.2.11
address: p/a SURFnet bv
address: Postbus 19035
address: NL - 3501 DA Utrecht
address: The Netherlands
address: Radboudkwartier 273
address: 3511 CK Utrecht
address: The Netherlands
address: Kruislaan 415
address: NL-1098 SJ Amsterdam
address: The Netherlands
         
Sagt dir das was, ist die dir bekannt?
Führ auch mal für weitere Analysen aus:
- eScan
- Silentrunners
- combofix
__________________

__________________

Alt 24.11.2007, 19:52   #3
$TV
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Hi Cosinus,

danke für die schnelle Antwort.
Nein, kenn diese IP nicht und die Adressen sagen mir auch nichts.
Wäre nett, wenn du mir Sagen könntest was das zu bedeuten hat.

Hab selber noch ein paar Infos zu meinem Problem gefunden.
Antivir hat noch den exakten namen des Wurms ausgespuckt: "vbs/solow.D"
Wenn ich das bei Google eingeben, kommt ein Antispyware Tool, namens "sophos". Wäre es hilfreich mir da die 30tage trail zu holen, und den Wurm damit zu beseitigen, oder ist diese Prog auch nicht nicht ganz koscher.

Ich hab jetzt noch den log von escan, hab wohl doch kein so sauberes system wie ich dachte ;D


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/23/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{AA787E33-DADC-4E53-A508-19318FF4C819}\RP228\A0098184.vbs infiziert von "Worm.VBS.Solow.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\Antispyware\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\Antispyware\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\Antispyware\uninstallers.zip/illegal_adv_uninstall.exe//UPX markiert als "not-virus:Hoax.Win32.Renos.dv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\STV\Desktop\internet.lnk
Offending file found: C:\Dokumente und Einstellungen\STV\Eigene Dateien\downloads\programme\sicherheitssoftware\antispyware\smitfraudfix\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\STV\Eigene Dateien\downloads\programme\sicherheitssoftware\antispyware\smitfraudfix\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\STV\Eigene Dateien\downloads\programme\sicherheitssoftware\antispyware\smitfraudfix\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\STV\Eigene Dateien\downloads\programme\sicherheitssoftware\antispyware\smitfraudfix\smitfraudfix\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\smartftp client\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\smartftp client\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8f39189a-d1a8-11db-a1b7-0030840dca00} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cba3499e-a4b7-11dc-a2e1-0030840dca00} !!!



Diverses

~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {8f39189a-d1a8-11db-a1b7-0030840dca00}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
Executable Command Found in {cba3499e-a4b7-11dc-a2e1-0030840dca00}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\STV\LOKALE~1\Temp\PartyCasino.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\STV\Lokale Einstellungen\Temp\PartyCasino.dll.gz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :

Statistiken:

Gefundene Viren: 33
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 813
Dauer des Scans bisher: 01:40:36

Scan-Optionen

System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:20:39,95
Batchende: 20:20:50,04
-------------------------------------------------------------------------------


und den log von silentrunners:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"" ["Nero AG"]
"BitTorrent DNA" = ""C:\Programme\BitTorrent_DNA\dna.exe"" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"IntelliType" = ""C:\Programme\Microsoft Hardware\Keyboard\type32.exe"" [MS]
"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" ["HP"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"Adobe Version Cue CS2" = "D:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" ["Adobe Sytems Incorporated"]
"QuickTime Task" = ""D:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Acrobat Assistant 7.0" = ""D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"" ["Adobe Systems Inc."]
"(Default)" = "(empty string)" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_10\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEToolbarHelper Class"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{1CAA843A-6DBD-40EF-AB71-8F7B209997C0}" = "IntelliType Pro Key Settings Control Panel Property Page"
-> {HKLM...CLSID} = "ITPropertyPage Class"
\InProcServer32\(Default) = "C:\Programme\Microsoft Hardware\Keyboard\itcpl.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]
"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Copy Hook"
-> {HKLM...CLSID} = "SmartFTP Copy Hook"
\InProcServer32\(Default) = "C:\Programme\SmartFTP Client\smarthook.dll" ["SmartSoft Ltd."]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{C81DCBCA-8AE2-41FC-9C39-78B160393210}" = "RhinoShExt"
-> {HKLM...CLSID} = "RhinoShExt"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RhinoShExt.dll" ["Robert McNeel & Associates"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
RhinoShExt\(Default) = "{C81DCBCA-8AE2-41FC-9C39-78B160393210}"
-> {HKLM...CLSID} = "RhinoShExt"
\InProcServer32\(Default) = "C:\WINDOWS\system32\RhinoShExt.dll" ["Robert McNeel & Associates"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Eigene Dateien\Eigene Bilder\Wallpapers\Maybe_it_s_over_to_the_left___.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\STV\Eigene Dateien\Eigene Bilder\Wallpapers\Maybe_it_s_over_to_the_left___.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "STV" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\STV\Startmenü\Programme\Autostart
"OpenOffice.org 2.1" -> shortcut to: "C:\Programme\OpenOffice.org 2.1\program\quickstart.exe" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Acrobat Speed Launcher" -> shortcut to: "C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe" [null data]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_10"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_10\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_10"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll" ["Sun Microsystems, Inc."]

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\
"ButtonText" = "PartyPoker.com"
"MenuText" = "PartyPoker.com"
"Exec" = "D:\Games\PartyGaming\PartyPoker\RunApp.exe" [empty string]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):


AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
hpzlnt04\Driver = "hpzlnt04.dll" ["HP"]


---------- (launch time: 2007-12-10 17:24:32)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 145 seconds.
---------- (total run time: 196 seconds)
__________________

Alt 25.11.2007, 13:34   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Deaktiviere die Systemwiederherstellung, das löscht die Dateien in C:\System Volume Information\

Dann solltest du noch ein paar Dateien löschen am besten so:

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
Files to delete:
C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\An tispyware\uninstallers.zip/illegal_adv_uninstall.exe
C:\Dokumente und Einstellungen\STV\Lokale Einstellungen\Temp\PartyCasino.dll.gz
C:\AUTORUN.INF
D:\AUTORUN.INF
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei File-Upload hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 26.11.2007, 10:23   #5
$TV
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Sooo,

vorweg, komm wieder ohne Probleme in meine Laufwerke thx.

Ok, hier mal die Avenger logfile:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dxbkwjbe

*******************

Script file located at: \??\C:\WINDOWS\eavduhni.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at c:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\An tispyware\uninstallers.zip/illegal_adv_uninstall.exe for deletion
Deletion of file C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\An tispyware\uninstallers.zip/illegal_adv_uninstall.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\An tispyware\uninstallers.zip/illegal_adv_uninstall.exe
Status: 0xc000003a

File C:\Dokumente und Einstellungen\STV\Lokale Einstellungen\Temp\PartyCasino.dll.gz deleted successfully.
File C:\AUTORUN.INF deleted successfully.
File D:\AUTORUN.INF deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und Hier
Der andere log...


Alt 26.11.2007, 16:29   #6
nochdigger
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Hallo

evtl. ist es nicht aufgefallen aber hier
Code:
ATTFilter
C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\An_tispyware\uninstallers.zip/illegal_adv_uninstall.exe
         
hat sich, denke ich mal, ein Fehler eingeschlichen, die Zeile sollte wohl so aussehen :
Code:
ATTFilter
Files to delete:
C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\Antispyware\uninstallers.zip/illegal_adv_uninstall.exe
         
und die neue Zeile noch mal mit Avenger löschen.

MFG

Alt 26.11.2007, 18:42   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Da haben wir uns beide vertan nochdigger
Besser sollte es so heißen:

Code:
ATTFilter
Files to delete:
C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\Antispyware\uninstallers.zip
         
Da war nämlich noch ein "/illegal_adv_uninstall.exe" dahinter, das ist nur ein Verweis darauf, dass diese Datei in der Zip-Datei liegt.

@$TV, mach das gleich mit dem Avenger nochmal, nur kopier diesmal diesen Text hinein:
Code:
ATTFilter
Files to delete:
C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\Antispyware\uninstallers.zip
         
Den Rest kennste, wieder das Logfile vom avenger posten. Denk auch noch bitte an das filelisting mit der listing7.cmd...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.11.2007, 15:09   #8
$TV
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Ok,

hier nochmal das Avenger logfile:




Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sehuktln

*******************

Script file located at: \??\C:\bfgkbchx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\STV\Eigene Dateien\Downloads\Programme\Sicherheitssoftware\Antispyware\uninstallers.zip deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Und hier nochmal das listing

Alt 30.11.2007, 17:07   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Mir fällt erst jetzt auf, dass deine Systemzeit verstellt ist. Korrigier das mal.
Du kannst aber auch per Windows-Zeitdienst die Uhrzeit automatisch syncen lassen.

Kommt die Meldung mittlerweile immer noch?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.11.2007, 20:40   #10
$TV
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Also,
vorweg, herzlichen Dank, dass ihr mir so schnell und effektiv geholfen habt.

Nein, die Virenwarnung ist weg, und jeglichen anderen Probleme damit auch.

Die Sache mit meiner Systemzeit ist etwas kompliziert.
Ich hab mir als Architektur Student, eine kostenlose Studentenversion von "Vectorworks" geholt, hatte aber, bei der Installation aus unerfindlichen Gründen, eine verstelle Systemzeit. Wenn ich nun meine Zeit korrigiere fordert mich das Programm auf, sie zu "berichtigen" da ansonsten meine Lizenz erlischt.
Also leb ich einfach damit. Fällt dir vielleicht eine Lösung ein, außer mir eine neue Lizenz zu holen?

Ich hab nun noch eine weiter Frage.
Ich hab den Virus aus dem Netzwerk meiner FH. Dort ist er anscheinend immernoch. Dh.: jedesmal wenn ich meinen usb stick dort benutze reinfiziere ich mich wieder damit.
Ausserdem hab ich immoment angst meine Externe Festplatte an zu schalten, da der Virus dort noch sein könnte.

Das nächste Problem hat ein Kumpel von mir. Er benutzt einen Mac und eine Desktop PC. Da der Mac immun gegen das Virus ist, es aber verbreitet, kann er keine Daten von seinem Mac zu seinem PC schieben, ohne sich wieder anzu stecken.

Gibt es irgend eine lösung für diese Probleme?

Alt 01.12.2007, 16:38   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Zitat:
Ich hab den Virus aus dem Netzwerk meiner FH. Dort ist er anscheinend immernoch. Dh.: jedesmal wenn ich meinen usb stick dort benutze reinfiziere ich mich wieder damit.
Was sagt denn der Administrator der FH dazu?

Zitat:
Ausserdem hab ich immoment angst meine Externe Festplatte an zu schalten, da der Virus dort noch sein könnte.
Solange du von der Festplatte nichts ausführst, passiert nichts. Für mehr Schutz solltest du mit einem eingeschränkten Konto auf die Platte zugreifen, oder boote ein Knoppix an und durchforste die ext. Platte nach Malwaredateien sowie dieser ominösen pagefile.sys.vbs und lösche sie.

Zitat:
Da der Mac immun gegen das Virus ist, es aber verbreitet, kann er keine Daten von seinem Mac zu seinem PC schieben, ohne sich wieder anzu stecken.
Er kann doch mit dem Mac Malwaredateien löschen...und zur Sicherheit unter einem eingeschränkten Konto unter Windows auf die Platte zugreifen, damit (falls noch Malwaredateien drauf sein sollten) nicht wieder das ganze System verseucht wird.

Was ist denn auf der ext. Platte drauf? Grundsätzlich sind erstmal alle ausführbaren Dateien potentiell gefährlich, also z.B. *.exe, *.com, *.pif, *.scr
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.11.2008, 20:29   #12
Murti74
 
pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Standard

pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"



Hallo,

ich habe leider das selbe Problem wie du. Hatte Anti Vir auf meinem Rechner drauf und nun wird mir der selbe Fehler angezeigt wenn ich meine Laufwerke öffnen möchte. Es nervt ganz schön. Komischerweise habe ich den Fehler mit Regclean bis auf zwei Laufwerke eingrenzen können. Mein USB Stick wie auch Auftragsplatte ist aber immer noch von dieser Fehlermeldung geschädigt. Habe wie du auch HJ instaliert gehabt und bin aber froh das ich ein Backup gemacht hate weil danach was nichts mehr funktionierte.

Kannst du mir kurz schildern wie du das Problem gelöst hast? Vieleicht gibt es ja auch noch andere im Forum die was dazu schreiben können:-)

Liebe Grüsse
Murti

Antwort

Themen zu pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"
adobe, antivir, avira, bho, ctfmon.exe, dll, drivers, explorer, fehlermeldung, firefox, handel, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, infiziert., internet, internet explorer, konvertieren, mozilla, mozilla firefox, nvidia, pdf-datei, problem, rundll, s-1-5-18, scan, software, stick, systemadministrator, trend micro, usb, virus, warnung, windows, windows xp



Ähnliche Themen: pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Vista langsam und Mozilla "spinnt rum"
    Lob, Kritik und Wünsche - 27.09.2014 (0)
  3. Vista langsam und Mozilla "spinnt rum"
    Log-Analyse und Auswertung - 25.09.2014 (21)
  4. Windows 8, Bei klick in Browser öffen sich ungewollte Fester, Tastatur "spinnt" nach einer weile.
    Plagegeister aller Art und deren Bekämpfung - 02.12.2013 (9)
  5. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  6. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  7. Firefox "spinnt": IP anders, Routerzugriff verweigert! Opera funktioniert einwandfrei!
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (1)
  8. PC spinnt wegen Trojaner "TR/Kazy.mekml.1" WTF?
    Plagegeister aller Art und deren Bekämpfung - 20.04.2011 (14)
  9. Virus "Suela-1042" in "Pagefile.sys" der Win XP-Partition
    Alles rund um Mac OSX & Linux - 02.12.2010 (2)
  10. "Öffnen mit Funktion" bei Windows 7 spinnt
    Alles rund um Windows - 14.06.2010 (2)
  11. Zugriff auf Laufwerke wird verweigert: "Recycler/... konnte nicht gefunden werden."
    Plagegeister aller Art und deren Bekämpfung - 19.05.2009 (3)
  12. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  13. internet spinnt. ie gibt immer meldung wegen "virus attack" --- need help
    Log-Analyse und Auswertung - 27.05.2008 (1)
  14. "tmp1.exe funktioniert nicht" und IE spinnt / Bitte um Begutachtung des HJT-Logs
    Log-Analyse und Auswertung - 23.03.2008 (7)
  15. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  16. Im IE geht "Im neuen Fenster öffnen" und "suchen" nicht, Outlook spinnt...
    Alles rund um Windows - 24.02.2005 (2)
  17. taskmng "spinnt" nach troja
    Plagegeister aller Art und deren Bekämpfung - 09.12.2004 (8)

Zum Thema pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" - Hallo, ich hab seit ca 2 tagen folgendes Problem: Mein Virenscanner (antivir) meldet eine schädliche/defekte Datei namens "pagefile.sys.vbs". Die Virenwarnung kommt vollkommen willkürlich, ohne einen bestimmten Grund. Ich hab mich - pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt"...
Archiv
Du betrachtest: pagefile.sys.fbs - Doppelklick auf Laufwerke "spinnt" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.