| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Befall mit Antivirus XP 2008 und UPS-VirusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
10.09.2008, 09:51
| #1 |
| Gast |  Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, ich fange mit dem zweiten Teil an, weil ich gerade mittendrin stecke. Hier sind die Ergebnisse von Virustotal: 1. ...\Process.exe Code:
ATTFilter Datei Process.exe empfangen 2008.09.10 10:27:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 8/36 (22.23%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.10 Win-AppCare/PrcViewer.53248
AntiVir 7.8.1.28 2008.09.10 -
Authentium 5.1.0.4 2008.09.10 -
Avast 4.8.1195.0 2008.09.10 -
AVG 8.0.0.161 2008.09.09 -
BitDefender 7.2 2008.09.10 -
CAT-QuickHeal 9.50 2008.09.10 -
ClamAV 0.93.1 2008.09.10 Trojan.Killproc-1
DrWeb 4.44.0.09170 2008.09.10 Tool.Prockill
eSafe 7.0.17.0 2008.09.09 -
eTrust-Vet 31.6.6080 2008.09.09 -
Ewido 4.0 2008.09.09 -
F-Prot 4.4.4.56 2008.09.09 -
F-Secure 8.0.14332.0 2008.09.10 -
Fortinet 3.112.0.0 2008.09.10 Misc/PrcViewer
GData 19 2008.09.10 -
Ikarus T3.1.1.34.0 2008.09.10 -
K7AntiVirus 7.10.448 2008.09.09 -
Kaspersky 7.0.0.125 2008.09.10 -
McAfee 5380 2008.09.09 potentially unwanted program PrcViewer
Microsoft 1.3903 2008.09.10 -
NOD32v2 3429 2008.09.09 Win32/PrcView
Norman 5.80.02 2008.09.09 -
Panda 9.0.0.4 2008.09.09 Application/Processor
PCTools 4.4.2.0 2008.09.09 -
Prevx1 V2 2008.09.10 -
Rising 20.61.21.00 2008.09.10 -
Sophos 4.33.0 2008.09.10 -
Sunbelt 3.1.1616.1 2008.09.09 -
Symantec 10 2008.09.10 -
TheHacker 6.3.0.9.077 2008.09.10 Aplicacion/Processor.20
TrendMicro 8.700.0.1004 2008.09.10 -
VBA32 3.12.8.5 2008.09.09 -
ViRobot 2008.9.10.1370 2008.09.10 -
VirusBuster 4.5.11.0 2008.09.09 -
Webwasher-Gateway 6.6.2 2008.09.10 -
weitere Informationen
File size: 53248 bytes
MD5...: 7397f6ee4a9601a123b645c0cd428017
SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0
SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd83137b4cc39cd120de
SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5efbf1243b4d35fc
20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974cd3d2b107f08784
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x402b42
timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7bea 0x8000 6.52 c01fadec01aae81015745dad0ecda107
.rdata 0x9000 0x1dfc 0x2000 5.10 e5217bccc8786d801b7a78bb7cce029c
.data 0xb000 0x1fc8 0x1000 2.67 5ba738a705a45c4209cbffe7469d458a
.rsrc 0xd000 0x3c0 0x1000 0.99 0967ff97890b79a40016a44e82666655
( 3 imports )
> KERNEL32.dll: GetLastError, GetProcessAffinityMask, OpenProcess, Sleep, TerminateProcess, WaitForSingleObject, SetPriorityClass, lstrcmpiA, HeapFree, ResumeThread, SuspendThread, GetVersionExA, WideCharToMultiByte, HeapAlloc, CloseHandle, GlobalFree, GlobalAlloc, FileTimeToSystemTime, SystemTimeToFileTime, GetSystemTime, LocalFree, FormatMessageA, HeapSize, RtlUnwind, LCMapStringW, LCMapStringA, VirtualQuery, GetSystemInfo, SetProcessAffinityMask, LoadLibraryA, GetProcAddress, FreeLibrary, GetProcessHeap, GetCurrentProcess, ExitProcess, GetModuleHandleA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetACP, GetOEMCP, GetCPInfo, FlushFileBuffers, SetFilePointer, GetLocaleInfoA, VirtualProtect, SetStdHandle
> USER32.dll: CloseDesktop, EnumDesktopWindows, GetWindowThreadProcessId, PostMessageA, OpenDesktopA
> ADVAPI32.dll: LookupAccountSidA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, GetTokenInformation
( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=7397f6ee4a9601a123b645c0cd428017
Code:
ATTFilter Datei dumphive.exe empfangen 2008.09.10 10:41:54 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.10 -
AntiVir 7.8.1.28 2008.09.10 -
Authentium 5.1.0.4 2008.09.10 -
Avast 4.8.1195.0 2008.09.10 -
AVG 8.0.0.161 2008.09.10 -
BitDefender 7.2 2008.09.10 -
CAT-QuickHeal 9.50 2008.09.10 -
ClamAV 0.93.1 2008.09.10 -
DrWeb 4.44.0.09170 2008.09.10 -
eSafe 7.0.17.0 2008.09.09 -
eTrust-Vet 31.6.6080 2008.09.09 -
Ewido 4.0 2008.09.09 -
F-Prot 4.4.4.56 2008.09.09 -
F-Secure 8.0.14332.0 2008.09.10 -
Fortinet 3.112.0.0 2008.09.10 -
GData 19 2008.09.10 -
Ikarus T3.1.1.34.0 2008.09.10 -
K7AntiVirus 7.10.448 2008.09.09 -
Kaspersky 7.0.0.125 2008.09.10 -
McAfee 5380 2008.09.09 -
Microsoft 1.3903 2008.09.10 -
NOD32v2 3429 2008.09.09 -
Norman 5.80.02 2008.09.09 -
Panda 9.0.0.4 2008.09.09 -
PCTools 4.4.2.0 2008.09.09 -
Prevx1 V2 2008.09.10 -
Rising 20.61.22.00 2008.09.10 -
Sophos 4.33.0 2008.09.10 -
Sunbelt 3.1.1616.1 2008.09.09 -
Symantec 10 2008.09.10 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.10 -
VBA32 3.12.8.5 2008.09.09 -
ViRobot 2008.9.10.1370 2008.09.10 -
VirusBuster 4.5.11.0 2008.09.09 -
Webwasher-Gateway 6.6.2 2008.09.10 -
weitere Informationen
File size: 51200 bytes
MD5...: 21868b2d22c726d94d98f15825d4134b
SHA1..: b8ecd21f17fdd3845e0eb3c52496a1353a856523
SHA256: 4a0202e069e3c1029ecb1f72639a7e35ccca28e1a81a7ca08d5f9206b4dc9363
SHA512: a9de3cab356ed8db4ebd2e85dcc750cd5407bc2ba71485ebf0caca030997a73e
60b0006922d1e1cec434ca41e2b4dfcf98a0703098eaa5182f1b68860601a460
PEiD..: -
TrID..: File type identification
Win32 Executable Borland Delphi 5 (95.3%)
Win32 Executable Generic (1.8%)
Win32 Dynamic Link Library (generic) (1.6%)
Win16/32 Executable Delphi generic (0.4%)
Generic Win/DOS Executable (0.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40b950
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0xabc0 0xac00 6.48 01304cf4ffbd4f78380f899515cfbcbe
DATA 0xc000 0x278 0x400 2.65 7434f79940cdef9f3121ba435097d8d8
BSS 0xd000 0x89d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xe000 0x4ca 0x600 3.80 e4b6eec38fd508db504db8297db30dac
.tls 0xf000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x10000 0x18 0x200 0.19 3987dfe186b585643bf6ea40e6020713
.reloc 0x11000 0x8c8 0xa00 6.25 b6eec48c821befbee6be3e663637787f
.rsrc 0x12000 0x200 0x200 2.68 99c2f0c741c708bde1c81bcf2d24c7a4
( 6 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, WideCharToMultiByte, GetThreadLocale, GetStartupInfoA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
> user32.dll: GetKeyboardType, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> kernel32.dll: LocalFree, GetProcAddress, FreeLibrary, LoadLibraryA
( 0 exports )
Code:
ATTFilter Datei WS2Fix.exe empfangen 2008.09.10 10:47:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/36 (2.78%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.10 -
AntiVir 7.8.1.28 2008.09.10 -
Authentium 5.1.0.4 2008.09.10 -
Avast 4.8.1195.0 2008.09.10 -
AVG 8.0.0.161 2008.09.10 -
BitDefender 7.2 2008.09.10 -
CAT-QuickHeal 9.50 2008.09.10 -
ClamAV 0.93.1 2008.09.10 -
DrWeb 4.44.0.09170 2008.09.10 -
eSafe 7.0.17.0 2008.09.09 Suspicious File
eTrust-Vet 31.6.6080 2008.09.09 -
Ewido 4.0 2008.09.09 -
F-Prot 4.4.4.56 2008.09.09 -
F-Secure 8.0.14332.0 2008.09.10 -
Fortinet 3.112.0.0 2008.09.10 -
GData 19 2008.09.10 -
Ikarus T3.1.1.34.0 2008.09.10 -
K7AntiVirus 7.10.448 2008.09.09 -
Kaspersky 7.0.0.125 2008.09.10 -
McAfee 5380 2008.09.09 -
Microsoft 1.3903 2008.09.10 -
NOD32v2 3429 2008.09.09 -
Norman 5.80.02 2008.09.09 -
Panda 9.0.0.4 2008.09.09 -
PCTools 4.4.2.0 2008.09.09 -
Prevx1 V2 2008.09.10 -
Rising 20.61.22.00 2008.09.10 -
Sophos 4.33.0 2008.09.10 -
Sunbelt 3.1.1616.1 2008.09.09 -
Symantec 10 2008.09.10 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.10 -
VBA32 3.12.8.5 2008.09.09 -
ViRobot 2008.9.10.1370 2008.09.10 -
VirusBuster 4.5.11.0 2008.09.09 -
Webwasher-Gateway 6.6.2 2008.09.10 -
weitere Informationen
File size: 25600 bytes
MD5...: 49b5595b1824bea6d850e0ed08b53e43
SHA1..: 5e2b90a2e34bb130b76517890877cb273f5f37b2
SHA256: 8d38a9bf06dbfa27be241d8d342e6d4116a5b70ac79fc67623616485967a0a02
SHA512: bfa8156a8a2c19c885412a92958102fc03cc3a7a20a56fb6baa41c7697825830
1848dc10af611caec1272970df4f7c853d18f9cd665dc041150a62427c9e15db
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x411a90
timedatestamp.....: 0x4704197e (Wed Oct 03 22:36:46 2007)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x6000 0x5e00 7.85 82ffcbe21ddaae4263a732f81d4c003d
UPX2 0x12000 0x1000 0x200 1.94 89ce67bc066af333dd324989218d2e5a
( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> WS2_32.dll: WSCDeinstallProvider
( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=49b5595b1824bea6d850e0ed08b53e43
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
|
|
10.09.2008, 10:00
| #2 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus 4. ...\hpqEm1Sz.Ini
__________________Code:
ATTFilter 0 bytes size received / Se ha recibido un archivo vacio
Code:
ATTFilter 0 bytes size received / Se ha recibido un archivo vacio
Bis gleich Ulla |
|
10.09.2008, 10:36
| #3 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death,
__________________ist alles dabei, was Du von Virustotal brauchst? Ich habe vorher mit Aveng er die angegebenen Dateien gescannt; Dann aber festgestellt, dass Anti Vir in der Zwischenzeit vier Dateien gefunden hat, also ab in die Quarantäne, löschen: Anschließend habe ich Aveng er zum zweiten Mal durchlaufen lassen. Ich sende Dir beide Durchläufe. Ich habe immer noch beim Hoch- und Runterfahren das Fenster: "Warning ... ist infected". Und mein Schirmchen von Anti Vir ist verschwunden. Anti Vir ist aber aktiviert, ich habe es in die Taskleiste gepackt. Vielen Dank, dass Du hier weitermachen willst. - Ich bin heute ab ca. 18:00 Uhr wieder da. Bis dahin alles Gute und liebe Grüße Ulla Hier kommt der erste \avenger.txt Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\SYSTEM32\suzkaco32.dll" deleted successfully.
Error: file "C:\WINDOWS\TEMP\xcp7.tmp" not found!
Deletion of file "C:\WINDOWS\TEMP\xcp7.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\Temp\.ttC.tmp" deleted successfully.
File "C:\WINDOWS\system32\phcgsgj0eg4c.bmp" deleted successfully.
File "C:\WINDOWS\system32\lphcgsgj0eg4c.exe" deleted successfully.
File "C:\WINDOWS\system32\blphcgsgj0eg4c.scr" deleted successfully.
File "C:\WINDOWS\system32\29.tmp" deleted successfully.
File "C:\WINDOWS\system32\1C.tmp" deleted successfully.
File "C:\WINDOWS\system32\1B.tmp" deleted successfully.
File "C:\WINDOWS\system32\39.tmp" deleted successfully.
File "C:\WINDOWS\system32\tmp.reg" deleted successfully.
File "C:\Programme\JYODQVBJZ.scr" deleted successfully.
File "C:\Programme\AFBCGZ.scr" deleted successfully.
File "C:\Programme\JXDVSOXVDTXIH.scr" deleted successfully.
Error: file "C:\WINDOWS\Temp\xjn7.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\xjn7.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\QooBox\Quarantine\C\WINDOWS\system32\blphcgsgj0eg4c.scr.vir" not found!
Deletion of file "C:\QooBox\Quarantine\C\WINDOWS\system32\blphcgsgj0eg4c.scr.vir" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\System32\drivers\tcpsr.sys" not found!
Deletion of file "C:\WINDOWS\System32\drivers\tcpsr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\WINDOWS\SYSTEM32\suzkaco32.dll" not found!
Deletion of file "C:\WINDOWS\SYSTEM32\suzkaco32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\TEMP\xcp7.tmp" not found!
Deletion of file "C:\WINDOWS\TEMP\xcp7.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\Temp\.ttC.tmp" deleted successfully.
File "C:\WINDOWS\system32\phcgsgj0eg4c.bmp" deleted successfully.
File "C:\WINDOWS\system32\lphcgsgj0eg4c.exe" deleted successfully.
File "C:\WINDOWS\system32\blphcgsgj0eg4c.scr" deleted successfully.
Error: file "C:\WINDOWS\system32\29.tmp" not found!
Deletion of file "C:\WINDOWS\system32\29.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\1C.tmp" not found!
Deletion of file "C:\WINDOWS\system32\1C.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\1B.tmp" not found!
Deletion of file "C:\WINDOWS\system32\1B.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\39.tmp" not found!
Deletion of file "C:\WINDOWS\system32\39.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\tmp.reg" not found!
Deletion of file "C:\WINDOWS\system32\tmp.reg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Programme\JYODQVBJZ.scr" not found!
Deletion of file "C:\Programme\JYODQVBJZ.scr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Programme\AFBCGZ.scr" not found!
Deletion of file "C:\Programme\AFBCGZ.scr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Programme\JXDVSOXVDTXIH.scr" not found!
Deletion of file "C:\Programme\JXDVSOXVDTXIH.scr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\Temp\xjn7.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\xjn7.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\QooBox\Quarantine\C\WINDOWS\system32\blphcgsgj0eg4c.scr.vir" not found!
Deletion of file "C:\QooBox\Quarantine\C\WINDOWS\system32\blphcgsgj0eg4c.scr.vir" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\System32\drivers\tcpsr.sys" not found!
Deletion of file "C:\WINDOWS\System32\drivers\tcpsr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate
|
|
10.09.2008, 12:25
| #4 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, das Schirnchen von Anti Vir ist mit etwas Nachhilfe wieder da. Bis heute Abend Ulla |
|
10.09.2008, 16:13
| #5 | |||
  | Befall mit Antivirus XP 2008 und UPS-Virus Hi Langsam schwindet mein Glaube daran, deinen Rechner wieder flott zu kriegen... Starte nochmals The Avenger und gib folgendes im weissen Feld ein: Zitat:
Zitat:
Wenn du sie findest und das manuelle löschen nicht funzt, versuche es mit KillBox. Die Anleitung wie findest du im Link. Bitte ein weiteres mal Malwarebytes scannen lassen  Lass bitte auch noch eScan und SUPERAntiSpyware laufen. Mal Avira mit folgender Einstellung laufen lassen---> Klick Erstelle nun bitte ein RunScanner Log
__________________ Kein Support per PN Zitat:
|
|
10.09.2008, 17:48
| #6 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, ich freue mich, von Dir zu hören. Wollen wir schon aufgeben? Ich arbeite jetzt ersteinmal alles ab. Vorab folgendes: - Avenger habe ich durchlaufen lassen, Protokoll anbei. - Die Datei C:\WINDOWS\System32\drivers\tcpsr.sys ist nicht da. (Die Häckchen sind so gesetzt, dass alle Dateien sichtbar sind.) - Alle Dateien mit t... habe ich aufs Datum kontrolliert. Aus 2008 ist keine. - Es gibt aber eine Datei "Uad72.sys" vom 14.07.2008, 11:32 Uhr, Größe 31,5 KB . Genau zu diesem Zeitpunkt habe ich die UPS-ZIP-Datei geöffnet. Seit dieser Minute habe ich meine Probleme. Der Technische Support von AntiVir konnte mir damals nicht helfen. Diese Datei war weder zu löschen, zu kopieren, auszuschneiden, umzubenennen. Mit Bedauern haben sie dann damals gesagt, keine Datei, keine Analyse. Ich mach jetzt weiter mit MalwareBytes. Liebe Grüße Ulla Aven ger Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\WINDOWS\Temp\.ttC.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\.ttC.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\system32\phcgsgj0eg4c.bmp" deleted successfully.
File "C:\WINDOWS\system32\lphcgsgj0eg4c.exe" deleted successfully.
File "C:\WINDOWS\system32\blphcgsgj0eg4c.scr" deleted successfully.
Error: file "C:\WINDOWS\System32\drivers\tcpsr.sys" not found!
Deletion of file "C:\WINDOWS\System32\drivers\tcpsr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate
|
|
10.09.2008, 18:02
| #7 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, ich lasse parallel MAM im abgesicherten Modus laufen. Ist das immer notwendig? Was macht mein Ritter Spybot S&D? Kann er mir vielleicht ein Bein stellen, indem er alles wieder herstellt? Ich habe so ein dummes Bauchgefühl. - Soll ich Spybot vielleicht deinstallieren? Liebe Grüße Ulla |
|
| Themen zu Befall mit Antivirus XP 2008 und UPS-Virus |
| 8.tmp, abgesicherten modus, ad-aware, administrator, adobe, adware.softmate, antivirus, askbar, autorun, avira, bildschirmschoner, c.exe, controlcenter, desktop, dringend, einstellungen, ellung, excel, explorer, fritz!, ftp, helfen, herzlichen dank, hijack, hijack.wallpaper, hkus\s-1-5-18, internet, internet explorer, pc läuft, pdf, photoshop, popup, problem, registrierungsschlüssel, rogue.multiple, rootkit.agent, scan, software, symantec, telefonnummer, temp, trojan.downloader, windows xp, windows\temp |
Hybrid-Darstellung
