![]() |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bitte um Hilfe. PC ist wahrscheinlich infiziertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
| |
| | #1 |
| /// Helfer-Team ![]() ![]() ![]() ![]() ![]() | Bitte um Hilfe. PC ist wahrscheinlich infiziert Was eScan "trojan-downloader.bat.ftp" nennt, sind Überreste von Smitfraudfix. Einfach ignorieren, einmal, wie von ordell schon gesagt, die Systemwiederherstellung deaktivieren, Rechner neu starten und es sollte gut sein.Den Report von Smitfraudfix könntest du aber noch mal posten, wenn du ihn noch hast.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
| | #2 | |
![]() ![]() | Bitte um Hilfe. PC ist wahrscheinlich infiziertZitat:
Habe es so gemacht, wie du gesagt hast. Aber danach wurde immer noch von eScan die Meldungen angezeigt: "System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader" und "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" Habe dann manuell die betroffenen Dateien gelöscht: Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe OK somit habe ich das Problem lösen können, was die Überreste von dem Programm "Smitfraudfix" betrifft. Aber die Meldung "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" bekomme ich immer noch angezeigt. Kannst Du mir sagen, wobei es sich dabei handelt? Also mit dem Programm "Smitfraudfix" habe ich es nicht geschafft den video activex access Trojan wegzubekommen. Hier mal der Report von Smitfraufix: SmitFraudFix v2.268 Scan done at 21:44:02,39, 14.12.2007 Run from C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\SmitraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll Bitte um Hilfe was genau der Report aussagt. Wie bekomme ich den video activex access Trojan weg? Oder handelt es dabei auch nur um Überreste, von irgendein Programm? Geändert von jens_78 (15.12.2007 um 21:32 Uhr) |
| | #3 |
![]() ![]() | Bitte um Hilfe. PC ist wahrscheinlich infiziert Also habe herausgefunden das folgende Meldung von eScan mit Windows Live Messenger zusammenhängt. "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" .
__________________Sobald ich Windows Live Messenger deinstalliere, bekomme ich auch keine Meldung mehr von eScan. Das heißt, dass man diese Meldung von eScan: "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" ignorieren muss, wenn man Windows Live Messenger installiert hat. Verstehe ich das richtig? Wäre interessant wenn andere Benutzer hier schreiben würden, ob sie auch diese Meldung von eScan bekommen, wenn sie Windows Live Messenger auf dem Rechner installiert haben. |
| | #4 |
![]() ![]() ![]() ![]() | Bitte um Hilfe. PC ist wahrscheinlich infiziert Yep. Du bist sauber, soweit sich das bisher beurteilen läßt. Wenn du keine Probleme mit dem Rechner hast, lass die Scannerei sein. Irgendwas findet sich immer, und wenn's ein Fehlalarm ist. |
| | #5 |
![]() ![]() | Bitte um Hilfe. PC ist wahrscheinlich infiziert Vielen Dank für Eure Hilfe !!! Aber folgendes würde ich gerne noch wissen. Ich habe Wiso Internet Security auf meinem Rechner installiert. Und bekomme auch wenn ich nur Laufwerk C:\ scanne, immer die Meldung, das die Masterbootsektoren HD 2; HD3; HD4 und HD5 nicht gelesen werden konnten. Und folgende Meldung kann ich mir auch nicht erklären: C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Hier die dazugehörige Reportdatei: WISO Internet Security Erstellungsdatum der Reportdatei: Freitag, 21. Dezember 2007 23:37 Es wird nach 985274 Virenstämmen gesucht. Lizenznehmer: WISO Internet Security Seriennummer: ******-******-****** Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.******] Benutzername: *** Norton Ghost Computername: ***-******* Versionsinformationen: BUILD.DAT : 89 24372 Bytes 14.11.2007 12:36:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 12:16:00 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 14:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 14:32:34 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 14:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 17:49:00 ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 14.12.2007 17:49:00 ANTIVIR3.VDF : 7.0.1.139 186368 Bytes 21.12.2007 22:15:35 AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 21.12.2007 22:15:35 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 06:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.6.0.2 360488 Bytes 21.12.2007 22:15:35 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 06:16:55 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 11:26:07 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 06:10:07 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03 RCIMAGE.DLL : 7.0.1.35 3084328 Bytes 29.10.2007 13:54:43 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:37:35 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 08:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Manuelle Auswahl Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WISO Internet Security\PROFILES\folder.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: umbenennen Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Freitag, 21. Dezember 2007 23:37 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '25815' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razertra.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VProTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'THGuard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OPware32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VProSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mscorsvw.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '47' Prozesse mit '47' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Masterbootsektor HD1 [HINWEIS] Es wurde kein Virus gefunden! Masterbootsektor HD2 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD3 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD4 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD5 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '34' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Freitag, 21. Dezember 2007 23:37 Benötigte Zeit: 00:33 min Der Suchlauf wurde vollständig durchgeführt. 1 Verzeichnisse wurden überprüft 130 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 130 Dateien ohne Befall 0 Archive wurden durchsucht 1 Warnungen 0 Hinweise 25815 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Geändert von jens_78 (22.12.2007 um 00:00 Uhr) |
![]() |
| Themen zu Bitte um Hilfe. PC ist wahrscheinlich infiziert |
| 1.exe, adware, auf einmal, defender, dll, drivers, einstellungen, escan, fehler, festplatte, frage, hosts-datei, infected, infiziert, infiziert., internet, ordner, programm, programme, prozesse, registry, rundll, spyware, system, system volume information, temp, viren, virus, windows, windows xp, windows\system32\drivers, windwows |