Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: "windows warning message", VBS.Agent.1002....?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.08.2008, 20:11   #1
Ellinida
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Hallo Leute, ich bins mal wieder
Meine Schwester hat irgendeinen oder sogar mehrere Viren eingefangen.. hab jetzt Antivirus durchlaufen lassen und mir das Programm "Malewarebyte" heruntergeladen und auch einen scan durchgeführt..
Gefunden habe ich mehrere Viren / Trojaner... Hab hier im Forum auch schon mehr darüber gelesen..
Wollte nun mein Hicjack-Log posten damit ihr mir helfen könnt um zu sehen ob ich noch unerwünschte Viren drauf hab oder nich...
Wäre super wenn ihr mir dabei helfen könntet!
Danke schonmal!!

Ach ja.. Und dieses blöde Desktop - Bild wo drauf steht "Windows warning message......Please activate your antivirus software to clean your computer", krieg ich auch nich weg... Denn wenn ich versuche die "Anzeige" aufzurufen fehlen einige Kategorien wo man das Desktopbild aussuchen kann etc...


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:13, on 25.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lphcak2j0er3n] C:\WINDOWS\system32\lphcak2j0er3n.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxbx_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbxcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 5411 bytes

Alt 25.08.2008, 21:01   #2
Ellinida
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Hier schicke ich noch die Reporte von dem Antivirus Scan hinterher:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 24. August 2008 21:29

Es wird nach 1568528 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: NINA-PC

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 23.07.2008 20:27:17
AVSCAN.DLL : 8.1.4.0 48897 Bytes 23.07.2008 20:27:17
LUKE.DLL : 8.1.4.5 164097 Bytes 23.07.2008 20:27:17
LUKERES.DLL : 8.1.4.0 12545 Bytes 23.07.2008 20:27:17
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 20:24:15
ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 17:51:01
ANTIVIR3.VDF : 7.0.6.59 242688 Bytes 23.08.2008 19:11:27
Engineversion : 8.1.1.23
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.68 315770 Bytes 18.08.2008 17:47:56
AESCN.DLL : 8.1.0.23 119156 Bytes 23.07.2008 20:24:48
AERDL.DLL : 8.1.0.20 418165 Bytes 23.07.2008 20:24:47
AEPACK.DLL : 8.1.2.1 364917 Bytes 23.07.2008 20:24:45
AEOFFICE.DLL : 8.1.0.22 192890 Bytes 18.08.2008 17:47:55
AEHEUR.DLL : 8.1.0.50 1388918 Bytes 18.08.2008 17:47:53
AEHELP.DLL : 8.1.0.15 115063 Bytes 23.07.2008 20:24:37
AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 17:47:45
AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 08:12:43
AECORE.DLL : 8.1.1.8 172406 Bytes 01.08.2008 08:12:41
AEBB.DLL : 8.1.0.1 53617 Bytes 23.07.2008 07:19:07
AVWINLL.DLL : 1.0.0.12 15105 Bytes 23.07.2008 20:27:17
AVPREF.DLL : 8.0.2.0 38657 Bytes 23.07.2008 20:27:17
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 08:12:39
AVREG.DLL : 8.0.0.1 33537 Bytes 23.07.2008 20:27:17
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 23.07.2008 20:27:17
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 23.07.2008 20:27:17
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 23.07.2008 20:27:15
RCTEXT.DLL : 8.0.52.0 86273 Bytes 23.07.2008 20:27:15

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, G:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 24. August 2008 21:29

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipIncTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lphcak2j0er3n.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt2.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Nina PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1Q70X6F\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\phcak2j0er3n.bmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.AAF
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [3]: Das System kann den angegebenen Pfad nicht finden.


Ende des Suchlaufs: Sonntag, 24. August 2008 22:02
Benötigte Zeit: 32:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

9829 Verzeichnisse wurden überprüft
224503 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
224500 Dateien ohne Befall
1235 Archive wurden durchsucht
2 Warnungen
2 Hinweise

Der Suchlauf nach versteckten Objekten wird begonnen.

tdssadw.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000002.dll
tdssl.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000004.dll
tdsslog.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000005.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.56
tdssmain.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000006.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.55
tdssserf.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000007.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.59
tdssserv.sys
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000009.sys
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20080824-221439-5A68306C.avp' geschrieben.
c:\windows\system32\drivers\tdssserv.sys
[FUND]
[HINWEIS] Die Datei wurde gelöscht.
c:\windows\system32\tdssadw.dll
c:\windows\system32\tdssinit.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\tdssl.dll
c:\windows\system32\tdsslog.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdssmain.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdssserf.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdssservers.dat
[INFO] Die Datei ist nicht sichtbar.


Ende des Suchlaufs: Sonntag, 24. August 2008 22:14
Benötigte Zeit: 04:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
8 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
4 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
295284 Objekte wurden beim Rootkitscan durchsucht
14 Versteckte Objekte wurden gefunden

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipIncTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lphcak2j0er3n.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\lphcak2j0er3n.exe'
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'lphcak2j0er3n.exe' wird beendet
C:\WINDOWS\system32\lphcak2j0er3n.exe
[FUND] Ist das Trojanische Pferd TR/Peed.jsb.6
[HINWEIS] Die Datei wurde gelöscht.

Es wurden '28' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 24. August 2008 22:44
Benötigte Zeit: 02:25 Minute(n)

Der Suchlauf wurde abgebrochen!

73 Verzeichnisse wurden überprüft
322 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
319 Dateien ohne Befall
24 Archive wurden durchsucht
1 Warnungen
1 Hinweise

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipIncTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '25' Prozesse mit '25' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt3.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Litsa.NINA-PC\Lokale Einstellungen\Temp\.tt1.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Litsa.NINA-PC\Lokale Einstellungen\Temp\.tt2.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Nina PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1Q70X6F\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{B006A987-9D6F-4EA2-9209-2BBEB4F248A5}\RP5\A0000022.exe
[FUND] Ist das Trojanische Pferd TR/Peed.jsb.6
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\phcak2j0er3n.bmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.AAF
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdsslog.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.56
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdssmain.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.55
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdssserf.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.59
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Montag, 25. August 2008 21:07
Benötigte Zeit: 1:25:25 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9818 Verzeichnisse wurden überprüft
224445 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
8 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
224436 Dateien ohne Befall
1232 Archive wurden durchsucht
2 Warnungen
8 Hinweise
__________________


Alt 25.08.2008, 21:17   #3
erty
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
  • Poste danach wie in der Anleitung beschrieben, das Ergebnis des rapports


Navilog1
Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Malwarebytes

MalwareBytes

alle logs posten
__________________

Geändert von erty (25.08.2008 um 21:24 Uhr)

Alt 26.08.2008, 12:31   #4
Ellinida
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Das hier ergab erstmal der Scan von F-Secure Blacklight!

08/26/08 13:07:46 [Info]: BlackLight Engine 1.0.67 initialized
08/26/08 13:07:46 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/26/08 13:07:49 [Note]: 7019 4
08/26/08 13:07:49 [Note]: 7005 0
08/26/08 13:08:01 [Note]: 7006 0
08/26/08 13:08:01 [Note]: 7011 676
08/26/08 13:08:01 [Note]: 7026 0
08/26/08 13:08:01 [Note]: 7026 0
08/26/08 13:08:06 [Note]: FSRAW library version 1.7.1024
08/26/08 13:23:44 [Note]: 2000 1012
08/26/08 13:23:44 [Note]: 2000 1012
08/26/08 13:23:44 [Note]: 2000 1012
08/26/08 13:29:02 [Note]: 7007 0

Alt 26.08.2008, 12:50   #5
Ellinida
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Hie auch noch der Bericht von Navilog:

Search Navipromo version 3.6.5 began on 26.08.2008 at 13:12:58,10

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Litsa"

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Litsa.NINA-PC\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Anna\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ANNA~1.NIN\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Nina\anwend~1" ***


*** Search folders in "C:\DOKUME~1\NINAPC~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Litsa.NINA-PC\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Anna\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ANNA~1.NIN\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\Nina\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\NINAPC~1\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Litsa.NINA-PC\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\Anna\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ANNA~1.NIN\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\Nina\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\NINAPC~1\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Litsa.NINA-PC\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Anna\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ANNA~1.NIN\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Nina\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\NINAPC~1\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Litsa.NINA-PC\lokale~1\anwend~1" :


* In "C:\DOKUME~1\Anna\lokale~1\anwend~1" :


* In "C:\DOKUME~1\ANNA~1.NIN\lokale~1\anwend~1" :


* In "C:\DOKUME~1\Nina\lokale~1\anwend~1" :


* In "C:\DOKUME~1\NINAPC~1\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 26.08.2008 at 13:45:00,71 ***



Was mir übrigens noch aufgefallen war, ist dass als ich den Pc hochgefahren hab, auf dem Desktop nicht mehr dieses "windows warning message"-Bild dort aufgetaucht ist..
Trotzdem kann ich unter Anzeige nur noch 3 Rubriken (die da wärenesgins, Darstellungen, Einstellungen) finden, der Rest wo ich mein Hintergrundbild etc verändern kann, der fehlt:/

Hab auch gerade übrigens noch 3 Mal einen Trojaner gefunden über Antivir: TR/Crypt.EQ.59 bzw 53 und 52 am Ende


SmitfraudFix werde ich heute Abdend ausführen weil ich jetzt zur Arbeit muss!


Alt 26.08.2008, 19:21   #6
Ellinida
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Hab nun das Programm SmitfraudFix laufen lassen!
Das Ergebnis sieht wie folgt aus:

SmitFraudFix v2.339

Scan done at 20:13:19,67, 26.08.2008
Run from C:\Dokumente und Einstellungen\Litsa.NINA-PC\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\drivers\svchost.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Als ich den Rechner dann neu gestartet hatte, funktionierte sogar die Anzeige wieder (also mit desktop, Bildschirmschoner etc!)!!

Ich werd nun noch einmal Antivir drüber laufen lassen..
Meint ihr die Sache ist dann endgültig gegessen? Oder seht ihr anhand der Berichte ob sich da noch einer versteckt?
Vielen Dank schonmal für den Tipp!

Alt 26.08.2008, 20:00   #7
Ellinida
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Hab doch noch einen Trojaner gefunden und zwar:
TR/Dldr/Small.aces

Der tauchte bei den davorigen Scans auch schon einmal auf!

Alt 26.08.2008, 20:47   #8
erty
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Bitte deaktiviere die systemwiederherstellung gem. Anleitung

Antivir dann mit diesen Einstellungen sacnnen lassen

und Malwarebytes und ein neues HijackThis Log nicht vergessen.

Alt 28.08.2008, 21:07   #9
Ellinida
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Hab deine Anweisungen befolgt. Hier die Ergebnisse:

SmitFraudFix v2.339

Scan done at 20:34:28,65, 28.08.2008
Run from C:\Dokumente und Einstellungen\Litsa.NINA-PC\Eigene Dateien\Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




SmitFraudFix v2.339

Scan done at 20:31:17,40, 28.08.2008
Run from C:\Dokumente und Einstellungen\Litsa.NINA-PC\Eigene Dateien\Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\Litsa.NINA-PC\Eigene Dateien\Dateien\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\tdssservers.dat detected, use a Rootkit scanner
C:\WINDOWS\system32\tdssadw.dll detected, use a Rootkit scanner
C:\WINDOWS\system32\tdssinit.dll detected, use a Rootkit scanner
C:\WINDOWS\system32\tdssl.dll detected, use a Rootkit scanner

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Litsa.NINA-PC


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Litsa.NINA-PC\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\LITSA~1.NIN\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End






Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 28. August 2008 20:30

Es wird nach 1579218 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Litsa
Computername: NINA-PC

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 23.07.2008 20:27:17
AVSCAN.DLL : 8.1.4.0 48897 Bytes 23.07.2008 20:27:17
LUKE.DLL : 8.1.4.5 164097 Bytes 23.07.2008 20:27:17
LUKERES.DLL : 8.1.4.0 12545 Bytes 23.07.2008 20:27:17
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 20:24:15
ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24.08.2008 20:17:10
ANTIVIR3.VDF : 7.0.6.81 146944 Bytes 27.08.2008 19:58:34
Engineversion : 8.1.1.23
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.68 315770 Bytes 18.08.2008 17:47:56
AESCN.DLL : 8.1.0.23 119156 Bytes 23.07.2008 20:24:48
AERDL.DLL : 8.1.0.20 418165 Bytes 23.07.2008 20:24:47
AEPACK.DLL : 8.1.2.1 364917 Bytes 23.07.2008 20:24:45
AEOFFICE.DLL : 8.1.0.22 192890 Bytes 18.08.2008 17:47:55
AEHEUR.DLL : 8.1.0.50 1388918 Bytes 18.08.2008 17:47:53
AEHELP.DLL : 8.1.0.15 115063 Bytes 23.07.2008 20:24:37
AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 17:47:45
AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 08:12:43
AECORE.DLL : 8.1.1.8 172406 Bytes 01.08.2008 08:12:41
AEBB.DLL : 8.1.0.1 53617 Bytes 23.07.2008 07:19:07
AVWINLL.DLL : 1.0.0.12 15105 Bytes 23.07.2008 20:27:17
AVPREF.DLL : 8.0.2.0 38657 Bytes 23.07.2008 20:27:17
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 08:12:39
AVREG.DLL : 8.0.0.1 33537 Bytes 23.07.2008 20:27:17
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 23.07.2008 20:27:17
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 23.07.2008 20:27:17
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 23.07.2008 20:27:15
RCTEXT.DLL : 8.0.52.0 86273 Bytes 23.07.2008 20:27:15

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 28. August 2008 20:30

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '12' Prozesse mit '12' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\Acr4CB7.tmp
[0] Archivtyp: PDF Stream
--> Object
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.AF
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Litsa.NINA-PC\Eigene Dateien\Dateien\SmitfraudFix.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Tool.Reboot.F.132
C:\Dokumente und Einstellungen\Litsa.NINA-PC\Eigene Dateien\Dateien\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491ff48e.qua' verschoben!
C:\Dokumente und Einstellungen\Litsa.NINA-PC\Eigene Dateien\Dateien\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Litsa.NINA-PC\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4929f4d8.qua' verschoben!
C:\Dokumente und Einstellungen\Nina PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1Q70X6F\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\2.tmp
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/BlueScreen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\blphcak2j0er3n.scr
[FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/BlueScreen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdssadw.dll
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Clbd.JA
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Donnerstag, 28. August 2008 21:43
Benötigte Zeit: 1:13:02 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9825 Verzeichnisse wurden überprüft
219459 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
5 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
219450 Dateien ohne Befall
1217 Archive wurden durchsucht
2 Warnungen
7 Hinweise




Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 3

21:53:32 28.08.2008
mbam-log-08-28-2008 (21-53-25).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 152328
Laufzeit: 1 hour(s), 20 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Anna\Eigene Dateien\setups\fp9_archive\fp9_archive\9r28\flashplayer9r28_winax.exe (BHO.Baidu) -> No action taken.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Eigene Dateien\setups\fp9_archive\fp9_archive\9r28\flashplayer9r28_winax.exe (BHO.Baidu) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> No action taken.




Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 3

21:53:47 28.08.2008
mbam-log-08-28-2008 (21-53-47).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 152328
Laufzeit: 1 hour(s), 20 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Anna\Eigene Dateien\setups\fp9_archive\fp9_archive\9r28\flashplayer9r28_winax.exe (BHO.Baidu) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Eigene Dateien\setups\fp9_archive\fp9_archive\9r28\flashplayer9r28_winax.exe (BHO.Baidu) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.





Und noch das Hijackthis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:57:33, on 28.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxbx_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbxcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 3772 bytes




Danke schonmal!

Alt 28.08.2008, 21:27   #10
erty
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Das HijackThis Log bitte im normalen Boot Modus erstellen.

Malwarebytes vor dem Scan updaten.

Alt 30.08.2008, 10:41   #11
Ellinida
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



So, hab deine Anweisungen nochmals befolgt, herausgekommen ist dies hier (es wurden keine Viren gefunden, aber vielleicht erkennt ihr ja doch noch einen an den Reports) :



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 30. August 2008 10:13

Es wird nach 1581048 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Litsa
Computername: NINA-PC

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 23.07.2008 20:27:17
AVSCAN.DLL : 8.1.4.0 48897 Bytes 23.07.2008 20:27:17
LUKE.DLL : 8.1.4.5 164097 Bytes 23.07.2008 20:27:17
LUKERES.DLL : 8.1.4.0 12545 Bytes 23.07.2008 20:27:17
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 20:24:15
ANTIVIR2.VDF : 7.0.6.60 2802176 Bytes 24.08.2008 20:17:10
ANTIVIR3.VDF : 7.0.6.88 171520 Bytes 28.08.2008 20:01:26
Engineversion : 8.1.1.23
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.68 315770 Bytes 18.08.2008 17:47:56
AESCN.DLL : 8.1.0.23 119156 Bytes 23.07.2008 20:24:48
AERDL.DLL : 8.1.0.20 418165 Bytes 23.07.2008 20:24:47
AEPACK.DLL : 8.1.2.1 364917 Bytes 23.07.2008 20:24:45
AEOFFICE.DLL : 8.1.0.22 192890 Bytes 18.08.2008 17:47:55
AEHEUR.DLL : 8.1.0.50 1388918 Bytes 18.08.2008 17:47:53
AEHELP.DLL : 8.1.0.15 115063 Bytes 23.07.2008 20:24:37
AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 17:47:45
AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 08:12:43
AECORE.DLL : 8.1.1.8 172406 Bytes 01.08.2008 08:12:41
AEBB.DLL : 8.1.0.1 53617 Bytes 23.07.2008 07:19:07
AVWINLL.DLL : 1.0.0.12 15105 Bytes 23.07.2008 20:27:17
AVPREF.DLL : 8.0.2.0 38657 Bytes 23.07.2008 20:27:17
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 08:12:39
AVREG.DLL : 8.0.0.1 33537 Bytes 23.07.2008 20:27:17
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 23.07.2008 20:27:17
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 23.07.2008 20:27:17
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 23.07.2008 20:27:15
RCTEXT.DLL : 8.0.52.0 86273 Bytes 23.07.2008 20:27:15

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Samstag, 30. August 2008 10:13

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Nina PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1Q70X6F\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.


Ende des Suchlaufs: Samstag, 30. August 2008 11:14
Benötigte Zeit: 1:00:32 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9836 Verzeichnisse wurden überprüft
219746 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
219745 Dateien ohne Befall
1246 Archive wurden durchsucht
2 Warnungen
0 Hinweise










Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1097
Windows 5.1.2600 Service Pack 3

11:33:07 30.08.2008
mbam-log-08-30-2008 (11-33-07).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 153569
Laufzeit: 1 hour(s), 19 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)









Und zu guter Letzt das Hijacklog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:36:37, on 30.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxbx_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbxcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 4333 bytes




Hätte da noch ne Frage: Und zwar wurde bei einem Scan von Antivirus das Programm Smaudfraudfix also bösartige Datei erkannt. Habs dann vorsichtshalber inne Quarantäne gepackt. Muss ich es löschen oder kann ich es wiederherstellen?

Danke mal wieder!

Alt 30.08.2008, 10:55   #12
Ellinida
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Oh mir fällt gerade noch was auf!
Und zwar bestand ja ds Problem dass ich unter Anzeige mein Bildschirmschoner oder Hintergrunsbild etc nicht ändern konnte, da die Rubriken einfach fehlten.

Bei mir klappt es zwar, nur auf dem anderen Benutzerkonto kann man wieder nichts einstellen.. Woran liegt das?

Ich glaube ich konnte es dadurch beheben als ich Smaudfraudfix benutzt habe ( erst gescannt und dann gefixt) .. Aber das müsste doch bei jedem Benutzerkonto dann übernommen werden oder nicht?

Alt 30.08.2008, 10:59   #13
erty
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



das Log sieht gut aus. das programm smitfraudfix kannst du entfernen. Bei Bedarf dann wieder neu runter laden.
dann scanne unter dem anderen account nochmals.

Alt 30.08.2008, 11:16   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
"windows warning message", VBS.Agent.1002....? - Icon32

"windows warning message", VBS.Agent.1002....?



Hallo,

ich misch mich ja nur ungerne ein, aber in den Logs hab ich das hier entdeckt:

Code:
ATTFilter
C:\WINDOWS\system32\tdssservers.dat detected, use a Rootkit scanner
C:\WINDOWS\system32\tdssadw.dll detected, use a Rootkit scanner
C:\WINDOWS\system32\tdssinit.dll detected, use a Rootkit scanner
C:\WINDOWS\system32\tdssl.dll detected, use a Rootkit scanner
         
Dieser tdssserv wird durchaus als Rootkit / Backdoor eingestuft...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.08.2008, 12:36   #15
Ellinida
 
"windows warning message", VBS.Agent.1002....? - Standard

"windows warning message", VBS.Agent.1002....?



Ok ich probiere es nochmal auf dem anderen Konto!

@ root24:
Sag mal, wie lösche ich diesen Rootkit? hab zwar gegoogelt aber eine antwort konnte ich darauf nicht finden.
Bei den ganzen Scans wurden die mir ja nicht als Rootkit angezeigt, konnte die somit auch nicht löschen.
Hab auch nach so einem Programm geschaut, welches Rootkits erkennt und löscht, wollte aber dass ihr mich lieber beratet welches ich da nehmen soll , ihr kennt euch da ja schließlich besser aus!

Und wieder vielen Dank! Ihr seid echt klasse

Antwort

Themen zu "windows warning message", VBS.Agent.1002....?
antivirus, avg, avira, bho, computer, desktop, enigma, excel, firefox, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, malwarebytes' anti-malware, mehrere, mozilla, mozilla firefox, programm, rundll, scan, security, security suite, server, software, super, system, viren, weg..., windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: "windows warning message", VBS.Agent.1002....?


  1. mehrere Kontakte bekommen eine Email "Hey! Important message", "js/js Mahtong"
    Log-Analyse und Auswertung - 20.02.2016 (51)
  2. Windows 10, Mail an eigene Kontakte mit "FW: new message"
    Plagegeister aller Art und deren Bekämpfung - 21.10.2015 (10)
  3. "TR/Dldr.Agent.1169920.4 in c:\windows\temp\db22.exe" & "ADWARE\InstallCore.771128 in c:\Users\Julian\Downloads\openal-2.0.7.0.exe"
    Plagegeister aller Art und deren Bekämpfung - 26.01.2015 (9)
  4. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  5. "Warning! Windows may be infected" entfernen
    Anleitungen, FAQs & Links - 31.01.2014 (2)
  6. "TR/Agent.ruo" in "C:\Windows\System32\wineoam.dll.VIR"
    Plagegeister aller Art und deren Bekämpfung - 28.03.2010 (1)
  7. TR/Agent.ruo im Ordner "windows/system32" in der Datei "d3stez.dll"
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (1)
  8. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  9. Windows Warning Message
    Log-Analyse und Auswertung - 29.11.2008 (6)
  10. WIndows Warning Message
    Mülltonne - 14.09.2008 (0)
  11. Windows Warning Message Spyware fighter?
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (1)
  12. Windows Warning Message "Spywar detected on your computer" + Win32/Adware.Virtumonde
    Log-Analyse und Auswertung - 11.09.2008 (14)
  13. Hintergrundbild "Windows Warning Message"
    Log-Analyse und Auswertung - 11.09.2008 (11)
  14. Antivirus XP 2008 + Windows Warning Message
    Plagegeister aller Art und deren Bekämpfung - 29.08.2008 (10)
  15. Trojanisches Pferd, Antivir hilft nicht + Windows Warning-Message
    Plagegeister aller Art und deren Bekämpfung - 26.08.2008 (1)
  16. Bekomme "http://default.home/" und "ACCESS BLOCKED - VIRUS WARNING" nicht mehr los
    Log-Analyse und Auswertung - 16.01.2005 (5)
  17. "Warning! Windows has detected SPYWARE INSTALLED on your computer"----> HILFE!!! =(
    Log-Analyse und Auswertung - 14.12.2004 (8)

Zum Thema "windows warning message", VBS.Agent.1002....? - Hallo Leute, ich bins mal wieder Meine Schwester hat irgendeinen oder sogar mehrere Viren eingefangen.. hab jetzt Antivirus durchlaufen lassen und mir das Programm "Malewarebyte" heruntergeladen und auch einen scan - "windows warning message", VBS.Agent.1002....?...
Archiv
Du betrachtest: "windows warning message", VBS.Agent.1002....? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.