Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verdacht auf Viren

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.10.2008, 17:23   #1
Hannsy
 
Verdacht auf Viren - Beitrag

Verdacht auf Viren



Hallo,
seit einiger Zeit verhält sich mein Computer seltsam. Er stürzt öfters ab und meistens direkt nach dem Start. Ich vermute dass ich einen Virus auf meinen PC habe. Könnt ihr bitte meinen Log checken?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:50, on 02.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BV***.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\fritzbox-usb-fernanschluss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb126\SearchSettings.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb126\SearchSettings.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\AVMAutoStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1210508752
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8426 bytes


Danke im Voraus

Alt 02.10.2008, 19:08   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Verdacht auf Viren - Standard

Verdacht auf Viren



hi Hannsy und



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

====

ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________

Alt 03.10.2008, 01:02   #3
Hannsy
 
Verdacht auf Viren - Standard

Verdacht auf Viren



Danke für deine Hilfe und der schnellen Antwort!

Hier ist der log von ComboFix:

ComboFix 08-10-02.04 - JW 2008-10-03 0:46:02.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1070 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\JW\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\clofghls.dll
C:\WINDOWS\system32\Bank.dll
C:\WINDOWS\system32\dao350.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-02 bis 2008-10-02 ))))))))))))))))))))))))))))))
.

2008-10-02 19:20 . 2008-10-02 19:21 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-02 19:20 . 2008-10-02 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\JW\Anwendungsdaten\Malwarebytes
2008-10-02 19:20 . 2008-10-02 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-02 19:20 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-02 19:20 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-25 20:24 . 2008-09-25 20:24 <DIR> d-------- C:\Programme\CCleaner
2008-09-23 20:58 . 2008-09-23 20:58 <DIR> d-------- C:\Programme\Trend Micro
2008-09-21 19:09 . 2008-09-21 19:09 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-09-18 22:11 . 2008-09-18 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\JW\Anwendungsdaten\Uniblue
2008-09-10 22:21 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-09-10 22:20 . 2008-09-10 22:20 <DIR> d-------- C:\Programme\Wissenskompendium
2008-09-10 22:18 . 2008-09-10 22:18 <DIR> d-------- C:\Dokumente und Einstellungen\JW\WINDOWS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-02 22:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-10-02 22:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-10-02 22:29 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-10-02 15:26 17,022 ----a-w C:\Dokumente und Einstellungen\JW\Anwendungsdaten\wklnhst.dat
2008-10-01 12:10 --------- d-----w C:\Programme\Apple Software Update
2008-09-16 12:19 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-09-16 12:19 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-09-06 21:27 --------- d-----w C:\Programme\PokerStars
2008-08-20 11:56 --------- d-----w C:\Programme\FLV Player
2008-08-20 07:24 --------- d-----w C:\Programme\FRITZ!BoxPrint
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-17 15:04 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-07-10 15:02 34,640 ----a-w C:\Dokumente und Einstellungen\JW\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-08 15:31 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
2008-07-08 15:31 2,272 ----a-w C:\WINDOWS\system32\w95inf16.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\AVMAutoStart.exe" [2008-05-12 139264]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-27 335872]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-03-14 116328]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"Cmaudio"="cmicnfg.cpl" [2004-01-07 C:\WINDOWS\CMICNFG.CPL]
"Dit"="Dit.exe" [2003-12-30 C:\WINDOWS\Dit.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microtek Scanner Finder.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microtek Scanner Finder.lnk
backup=C:\WINDOWS\pss\Microtek Scanner Finder.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
--a------ 2008-07-10 09:47 116040 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 04:22 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
--a------ 2007-12-23 01:03 916240 C:\Programme\Eraser\Eraser.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-10 10:51 289064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
-ra------ 2001-07-09 15:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Realtime Monitor]
--a------ 2003-03-21 23:33 487696 C:\PROGRA~1\CA\ETRUST~1\Realmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]
--a------ 2008-02-06 18:47 1036640 C:\Programme\Search Settings\SearchSettings.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"InoTask"=2 (0x2)
"InoRT"=2 (0x2)
"InoRPC"=2 (0x2)
"FolderSize"=2 (0x2)
"Fax"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\JW\\Lokale Einstellungen\\Apps\\2.0\\55WMGXH9.RRL\\7330BVJW.LGP\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0e9add42c1\\fritzbox-usb-fernanschluss.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Dokumente und Einstellungen\\JW\\Lokale Einstellungen\\Apps\\2.0\\55WMGXH9.RRL\\7330BVJW.LGP\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 53248]
R3 avmaura;AVM USB-Fernanschluss;C:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-05-12 100864]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 350752]
R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-10-03 13440]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 24704]
R3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 380736]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 19928]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 77824]
S3 gel90xne;gel90xne;C:\DOKUME~1\JW\LOKALE~1\Temp\gel90xne.sys [ ]

*Newly Created Service* - COMHOST
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1210508752
C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-03 00:48:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-10-03 0:52:18
ComboFix-quarantined-files.txt 2008-10-02 22:51:15

Vor Suchlauf: 16 Verzeichnis(se), 61.389.565.952 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 61,458,288,640 Bytes frei

169 --- E O F --- 2008-09-10 15:03:28





Gruß Hannsy
__________________

Alt 03.10.2008, 10:58   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Verdacht auf Viren - Standard

Verdacht auf Viren



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Zitat:
KILLALL::

Driver::
gel90xne
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


===


wo ist das Malwarebytes logfile??
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 03.10.2008, 12:00   #5
Hannsy
 
Verdacht auf Viren - Standard

Verdacht auf Viren



Hallo,

Hier ist der Malwarebytes logfile:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1225
Windows 5.1.2600 Service Pack 3

03.10.2008 00:27:08
mbam-log-2008-10-03 (00-27-08).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|M:\|)
Durchsuchte Objekte: 226019
Laufzeit: 3 hour(s), 31 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



-----------------
Sorry, hatte ich vergessen zu posten
-----------------



Und hier der von ComboFix:



ComboFix 08-10-02.04 - JW 2008-10-03 11:33:50.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1080 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\JW\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\JW\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GEL90XNE
-------\Service_gel90xne


((((((((((((((((((((((((( Files Created from 2008-09-03 to 2008-10-03 )))))))))))))))))))))))))))))))
.

2008-10-02 19:20 . 2008-10-02 19:21 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-02 19:20 . 2008-10-02 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\JW\Anwendungsdaten\Malwarebytes
2008-10-02 19:20 . 2008-10-02 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-02 19:20 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-02 19:20 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-25 20:24 . 2008-09-25 20:24 <DIR> d-------- C:\Programme\CCleaner
2008-09-23 20:58 . 2008-09-23 20:58 <DIR> d-------- C:\Programme\Trend Micro
2008-09-21 19:09 . 2008-09-21 19:09 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-09-18 22:11 . 2008-09-18 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\JW\Anwendungsdaten\Uniblue
2008-09-10 22:21 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-09-10 22:20 . 2008-09-10 22:20 <DIR> d-------- C:\Programme\Wissenskompendium

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-03 09:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-10-03 09:17 13,440 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-10-02 22:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-10-02 15:26 17,022 ----a-w C:\Dokumente und Einstellungen\JW\Anwendungsdaten\wklnhst.dat
2008-10-01 12:10 --------- d-----w C:\Programme\Apple Software Update
2008-09-16 12:19 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-09-06 21:27 --------- d-----w C:\Programme\PokerStars
2008-08-20 11:56 --------- d-----w C:\Programme\FLV Player
2008-08-20 07:24 --------- d-----w C:\Programme\FRITZ!BoxPrint
2008-07-10 15:02 34,640 ----a-w C:\Dokumente und Einstellungen\JW\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-10-03_ 0.50.48.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMUSBFernanschluss"="C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\AVMAutoStart.exe" [2008-05-12 139264]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Eraser"="C:\Programme\Eraser\Eraser.exe" [2007-12-23 916240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-27 335872]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-03-14 116328]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"Cmaudio"="cmicnfg.cpl" [2004-01-07 C:\WINDOWS\CMICNFG.CPL]
"Dit"="Dit.exe" [2003-12-30 C:\WINDOWS\Dit.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microtek Scanner Finder.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microtek Scanner Finder.lnk
backup=C:\WINDOWS\pss\Microtek Scanner Finder.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
--a------ 2008-07-10 09:47 116040 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 04:22 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
--a------ 2007-12-23 01:03 916240 C:\Programme\Eraser\Eraser.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-10 10:51 289064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
-ra------ 2001-07-09 15:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Realtime Monitor]
--a------ 2003-03-21 23:33 487696 C:\PROGRA~1\CA\ETRUST~1\Realmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]
--a------ 2008-02-06 18:47 1036640 C:\Programme\Search Settings\SearchSettings.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"InoTask"=2 (0x2)
"InoRT"=2 (0x2)
"InoRPC"=2 (0x2)
"FolderSize"=2 (0x2)
"Fax"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\JW\\Lokale Einstellungen\\Apps\\2.0\\55WMGXH9.RRL\\7330BVJW.LGP\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0e9add42c1\\fritzbox-usb-fernanschluss.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Dokumente und Einstellungen\\JW\\Lokale Einstellungen\\Apps\\2.0\\55WMGXH9.RRL\\7330BVJW.LGP\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 53248]
R3 avmaura;AVM USB-Fernanschluss;C:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-05-12 100864]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 350752]
R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-10-03 13440]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 24704]
R3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 380736]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 19928]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 77824]

*Newly Created Service* - COMHOST
.
Contents of the 'Scheduled Tasks' folder
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-03 11:36:32
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\scardsvr.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\fritzbox-usb-fernanschluss.exe
C:\ComboFix\pv.cfexe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Completion time: 2008-10-03 11:43:43 - machine was rebooted
ComboFix-quarantined-files.txt 2008-10-03 09:43:38
ComboFix2.txt 2008-10-02 22:52:19

Vor Suchlauf: 16 Verzeichnis(se), 61.550.845.952 Bytes frei
Post-Run: 19 Verzeichnis(se), 61,489,631,232 Bytes frei

160 --- E O F --- 2008-09-10 15:03:28





Danke nochmal

Gruß Hannsy


Alt 03.10.2008, 17:21   #6
schrauber
/// the machine
/// TB-Ausbilder
 

Verdacht auf Viren - Standard

Verdacht auf Viren




Kaspersky - Onlinescanner


Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________
--> Verdacht auf Viren

Alt 03.10.2008, 23:07   #7
Hannsy
 
Verdacht auf Viren - Standard

Verdacht auf Viren



Hallo schrauber26

Bis jetzt ist der PC nicht wieder abgestürzt!

Um welche Art von Virus handelt es sich denn?
Ist es möglich, dass dieser auch auf andere PCs im Netzwerk zugreifen kann?

(Wir haben nämlich zwei Rechner angeschlossen, und der andere stürzt ab und zu auch ab, zeigt aber andere Fehlermeldungen. Es könnte auch an etwas was anderen liegen.)


Hier der Log von KasperSky:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 3. Oktober 2008 22:39:44
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 3/10/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1149398
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
M:\
N:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 186959
Viren gefunden: 4
Infizierte Objekte gefunden: 8
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:53:27

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Confid.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Content.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Privacy.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\Restrict.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\WebHist.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Shared\QBackup\index.qbs Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBConfig.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBDebug.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBDetect.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBNotify.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBRefr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetCfg.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetCfg2.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetDev.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetLoc.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetUsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBStHash.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBValid.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtErEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp\0E56E172.TMP Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp\10BDAE80.TMP Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtMoEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtNvEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtScEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtTxFEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtViEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ\197088010\Messages.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ\197088010\Owner.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ\Application.mdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik\iTunes\iTunes Library.itl Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@***.com\SharingMetadata\Logs\Dfsr00005.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@***.com\SharingMetadata\pending.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@***.com\SharingMetadata\Working\database_1A24_96D2_2496_AFED\dfsr.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@***.com\SharingMetadata\Working\database_1A24_96D2_2496_AFED\fsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@***.com\SharingMetadata\Working\database_1A24_96D2_2496_AFED\fsrtmp.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@***.com\SharingMetadata\Working\database_1A24_96D2_2496_AFED\tmp.edb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\***@***.com\real\members.stg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\***@***.com\shadow\members.stg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\access\access.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\temp\JETC114.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\temp\~DFEE29.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\temp\~DFEE41.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\temp\~DFF932.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\temp\~DFF943.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100320081004\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\JW\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\AntiSpam\Log\Spam.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\Bonus\Log\Shazam.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\WA\1.5\NCOWAD.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\WA\1.5\NCOWADMT.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\WA\1.5\NCOWAS.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\WA\1.5\NCOWAS.ldb Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EPERSIST.DAT Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\AutoProtect.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\AVContext.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\AVManual.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\Backup.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\CUInternetPageViewHistory.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\CUInternetSearchHistory.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\CUInternetTempFiles.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\CUWindowsTempFiles.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\EmailScan.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\InternetSecurity.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\ISIntrusionPrevented.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\ISIOTraffic.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\ISNewNetwork.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\LiveUpdate.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\NCO.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\VABrowserSettings.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\VAIPAddresses.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\VAWeakPasswords.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton 360 Online\Log\WDFScanner.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP169\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB824141$\user32.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB824141$\win32k.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\html32.cnv Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\locator.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\magnify.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\narrator.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\newdev.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\osk.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\shell32.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\srv.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\user32.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\win32k.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826942$\ndis.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826942$\netshell.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB826942$\xpsp2res.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallKB833330$\Blastcln\blastcln.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$NtUninstallQ828026$\wmp.dll Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\cc13.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\cc14.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\cc15.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\cc16.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\JET31A0.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\JET329A.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\d7283823a72037f80d92fb992ec24e81\%temp%dd_msxml_retMSI.txt Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP169\change.log Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP169\change.log Das Objekt ist gesperrt übersprungen
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\081724D5.wmf Infizierte Objekte: Trojan-Downloader.Win32.Agent.acd übersprungen
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5D2161A6.exe Infizierte Objekte: Worm.Win32.VB.an übersprungen
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5D420582.exe Infizierte Objekte: Worm.Win32.VB.an übersprungen
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\69C23FC0.exe Infizierte Objekte: Worm.Win32.VB.an übersprungen
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\276C0FE5.tmp Infizierte Objekte: Worm.Win32.VB.an übersprungen
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\07A5244A.tmp Infizierte Objekte: Worm.Win32.VB.an übersprungen
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\05396A76.tmp Infizierte Objekte: Trojan-Spy.Win32.DiabloII.f übersprungen
M:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
M:\System Volume Information\_restore{98C77821-17B0-44AF-ADA8-3B1E006E00CB}\RP26\A0006988.exe Infizierte Objekte: Hoax.Win32.ComputerSchock übersprungen
M:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP169\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.


------------------------

Nochmals vielen, vielen Dank für deine Hilfe

Gruß Hannsy

Geändert von Hannsy (03.10.2008 um 23:31 Uhr)

Alt 03.10.2008, 23:26   #8
schrauber
/// the machine
/// TB-Ausbilder
 

Verdacht auf Viren - Standard

Verdacht auf Viren




Combofix Deinstallieren


Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.

====

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
  • Klicke auf den Button "CleanUp!"
  • Eine Datei* sollte nun heruntergeladen werden.
    *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
  • OTMoveit fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

====

Schädlinge im Ordner der Systemwiederherstellung:

(Systemwiederherstellung kann nun wieder aktiviert werden.)


====

diesen onlinescan machen

F-Secure Support-Seiten: F-Secure Online-Virenscanner

====

neues hjt-log bitte
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 04.10.2008, 13:57   #9
Hannsy
 
Verdacht auf Viren - Standard

Verdacht auf Viren



Hallo,

der F-Secure Online Virenscanner hat bei mir folgende 4 Viren gefunden:

081724D5.WMF (Renamed & Submitted)
5D2161A6.EXE (Renamed & Submitted)
5D420582.EXE (Renamed & Submitted)
69C23FC0.EXE (Renamed & Submitted)

Die sind aber alle in dem Quarantäne Ordner von Norten Antivirus.


... und mehrere Spywares.

(Sorry für doofe Fragen, ich kenne mich nicht so gut mit PCs aus )

Um welche Art von Virus handelt es sich denn?
Ist es möglich, dass dieser auch auf andere PCs im Netzwerk zugreifen kann?



... und hier der neue HJT-Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:39:56, on 04.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\Eraser.exe
C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\fritzbox-usb-fernanschluss.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\JW\Lokale Einstellungen\Apps\2.0\55WMGXH9.RRL\7330BVJW.LGP\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\AVMAutoStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1210508752
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 7686 bytes


Gruß Hannsy

Alt 04.10.2008, 14:11   #10
schrauber
/// the machine
/// TB-Ausbilder
 

Verdacht auf Viren - Standard

Verdacht auf Viren




Fixen/Löschen mit Hijackthis



Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen:



Zitat:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"

====

macht der rechner noch probleme? wenn nicht, clean

====

das war ne mischung aus mehreren trojanern, aber eher harmlosere art. übers netzwerk denke ich nicht dass es zu probs kommen kann. zur vorsorge mache an den andern rechnern ebenfalls den onlinescan mit kaspersky.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 04.10.2008, 20:37   #11
Hannsy
 
Verdacht auf Viren - Standard

Verdacht auf Viren



Hallo schrauber!

Nochmals vielen³ Dank für deine Hilfe.
Bis jetzt ist mir der PC nicht wieder abgestürtzt, dank deiner Hilfe !

... Wenn du mal hilfe brauchen solltest, kann ich dir helfen, sofern ichs verstehe ^^

Gruß Hannsy


Antwort

Themen zu Verdacht auf Viren
adobe, bho, bonjour, browser, computer, dll, einstellungen, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, microsoft, pdf, programme, rundll, search settings, software, symantec, system, urlsearchhook, verdacht auf viren, viren, virus, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Verdacht auf Viren


  1. Verdacht auf Viren
    Plagegeister aller Art und deren Bekämpfung - 30.10.2015 (23)
  2. Win7 PC: Verdacht auf Viren
    Log-Analyse und Auswertung - 11.08.2015 (9)
  3. Verdacht auf Viren/Trojaner
    Plagegeister aller Art und deren Bekämpfung - 27.09.2014 (7)
  4. Verdacht auf Trojaner/Viren
    Plagegeister aller Art und deren Bekämpfung - 05.04.2014 (13)
  5. Verdacht auf Viren
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (19)
  6. Verdacht auf Viren
    Log-Analyse und Auswertung - 20.05.2011 (16)
  7. Verdacht auf Viren
    Log-Analyse und Auswertung - 11.04.2010 (9)
  8. Verdacht auf Viren
    Log-Analyse und Auswertung - 06.01.2010 (1)
  9. Verdacht auf Viren-Befall
    Log-Analyse und Auswertung - 26.12.2009 (19)
  10. Verdacht auf Viren
    Log-Analyse und Auswertung - 11.12.2009 (4)
  11. Verdacht auf Viren
    Plagegeister aller Art und deren Bekämpfung - 28.09.2009 (10)
  12. Verdacht auf weitere Viren
    Log-Analyse und Auswertung - 03.09.2008 (7)
  13. Verdacht auf Viren/Trojaner
    Plagegeister aller Art und deren Bekämpfung - 31.10.2007 (6)
  14. Verdacht auf Viren/Würmer
    Log-Analyse und Auswertung - 17.01.2007 (2)
  15. Verdacht auf Viren/Trojaner
    Log-Analyse und Auswertung - 15.07.2006 (3)
  16. Verdacht auf Viren
    Plagegeister aller Art und deren Bekämpfung - 14.08.2005 (1)
  17. Dringend!!!! Verdacht auf Viren!!!
    Log-Analyse und Auswertung - 17.09.2004 (2)

Zum Thema Verdacht auf Viren - Hallo, seit einiger Zeit verhält sich mein Computer seltsam. Er stürzt öfters ab und meistens direkt nach dem Start. Ich vermute dass ich einen Virus auf meinen PC habe. Könnt - Verdacht auf Viren...
Archiv
Du betrachtest: Verdacht auf Viren auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.