Trojaner-Board - virtumonde lässt sich nicht entfernen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - virtumonde lässt sich nicht entfernen (https://www.trojaner-board.de/43375-virtumonde-laesst-entfernen.html)

Hallo liebe Forengemeinde,

also einige der Plagegeister bin ich bereits losgeworden :) Einzige bemerkbare "Anomalität" ist nun dieses Dreicke mit dem "!" in der Taskliste. Wenn ich darauf klicke, erscheint ein Fesnter "Personal Security Center".

Vielleicht kann mir ja jemand einen Tip geben, wie ich den los werde? Das Ergebnis eines aktuellen eScans findet ihr in meinem Posting unten.

Schönen Dank schonmal und viele Grüße
Joggele

Hallo. :)

Du bist mir irgendwie abhanden gekommen ... :D

Mach bitte nun folgendes:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen und bereinigen. (Option 2)

http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Gruß
Sunny

Hi Sunny, schönen Dank für die intensive Betreuung! :)

Also ich habe das jetzt so wie von Dir vorgeschlagen gemacht, und es sieht gut aus. Ich kann keine Trojaneraktivitäten mehr feststellen. - Auch dieses Symbol in der Taskliste und das Popoup ist weg! :Boogie: Was mich ein wenig stutzig macht, ist dass die HD noch rattert, während ich das hier schreibe. Ist da vielleicht noch irgendein Mistvieh versteckt oder ist das ein Feature von Windows? :confused:

Also hier mal die Ergebnisse der Sachen, die ich nun gemacht habe:

1. Smitfraudfix
- Im normalen Mode ge"searched" und
- im abgesicherten Modus cleanen lassen

Hier das Logfile:
*********************************
mitFraudFix v2.225

Scan done at 17:37:40,50, 17.09.2003
Run from C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A4B11A94-193D-4F51-AAC0-2472DEC496B8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A4B11A94-193D-4F51-AAC0-2472DEC496B8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A4B11A94-193D-4F51-AAC0-2472DEC496B8}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

2. ComboFix im normalen Modus gestartet

Hier das Logfile:

*********************************
ComboFix 07-09-17.2 - "Ch" 2003-09-17 17:43:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.193 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\Ch\Desktop\internet.lnk
C:\Programme\SecCenter
C:\Programme\SecCenter\scprot4.exe
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-08-17 bis 2007-09-17 ))))))))))))))))))))))))))))))
.

2007-09-11 19:46 <DIR> d-------- C:\Programme\odmtmtmn
2007-09-11 19:23 <DIR> d-------- C:\Programme\Norton Internet Security
2007-09-11 19:21 48,824 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2007-09-11 19:21 108,728 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-08-31 20:06 <DIR> d-------- C:\DOKUME~1\User\gez
2007-08-30 20:48 <DIR> d-------- C:\WINDOWS\E80F62FF5D3C4A1984099721F2928206.TMP
2007-08-30 19:21 <DIR> d-------- C:\DOKUME~1\User\ANWEND~1\Symantec

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-17 17:43 --------- d-------- C:\DOKUME~1\Ch\ANWEND~1\Tor
2007-09-11 19:27 --------- d-------- C:\Programme\Symantec
2007-09-06 00:22 289144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-09-03 22:07 --------- d-------- C:\DOKUME~1\User\ANWEND~1\BOM
2007-08-31 21:37 --------- d-------- C:\Programme\Biet-O-Matic
2007-08-30 18:44 --------- d-------- C:\DOKUME~1\Ch\ANWEND~1\Symantec
2007-08-07 19:10 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe Systems
2007-08-07 19:09 --------- d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2007-08-07 00:09 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
2007-08-04 16:11 --------- d-------- C:\Programme\Vidalia Bundle
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-21 18:48 --------- d-------- C:\DOKUME~1\User\ANWEND~1\Ahead
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2003-09-11 19:56 76285 --a------ C:\Programme\setup.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{64B94229-7967-860A-A0C2-034C02BA876B}]
C:\Programme\Rigwhycd\tlpjeumr.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-25 21:10]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 11:53 C:\WINDOWS\SOUNDMAN.EXE]
"EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2003-05-27 05:08]
"DataLayer"="C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe" [2005-06-07 11:31]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2005-06-29 15:29]
"D-Link Air USB Utility"="C:\Programme\D-Link\Air USB Utility\AirCFG.exe" [2004-05-25 19:09]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-04-14 12:54]
"HydraVisionDesktopManager"="C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe" [2003-04-01 16:41]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 11:58]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-09-03 00:04]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2006-09-05 18:22]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2006-05-08 06:17]
"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-08-02 09:23]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 02:19:50]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26]
Privoxy.lnk - C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 16:30:54]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Antiwpa]
antiwpa.dll 2005-12-29 19:26 5376 C:\WINDOWS\system32\antiwpa.dll

R3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\PRISMUSB.sys
S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys
S3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys

*Newly Created Service* - CATCHME
*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2007-09-11 17:34:39 C:\WINDOWS\Tasks\Norton Internet Security - Vollständige Systemprüfung ausführen - Ch.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-17 17:47:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-09-17 17:49:04
C:\ComboFix-quarantined-files.txt ... 2007-09-17 17:48
.
--- E O F ---

Schöne Grüße, Joggele

Zitat:

1. Smitfraudfix
- Im normalen Mode ge"searched" und
- im abgesicherten Modus cleanen lassen

So war es absolut richtig ... :daumenhoc

Das mit dem "rattern" sollte nach einem Neustart, so hoffe ich es, wieder verschwunden sein.

Bevor du das aber tust mach bitte noch folgendes:

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Der eScan dauert zwar, aber ich will sehen was noch gefunden wird!

(Systemwiederherstellung kann nun wieder aktiviert werden.)

Sunny

Zitat:

Zitat von [Gc]Sunny (Beitrag 294100)

[CENTER]
Das mit dem "rattern" sollte nach einem Neustart, so hoffe ich es, wieder verschwunden sein.

Ja! Im Moment rattert nix mehr!

Zitat:

Zitat von [Gc]Sunny (Beitrag 294100)

Bevor du das aber tust mach bitte noch folgendes:[/B]

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung ->

Oky, habe ich gemacht.

Zitat:

Zitat von [Gc]Sunny (Beitrag 294100)

* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen.

MWAV (eScan) - Free Antivirus
[...]
Der eScan dauert zwar, aber ich will sehen was noch gefunden wird![/B]
[/COLOR][/B]

Sunny

Ok, das ist nun ebenfalls erledigt. Hier das entsprechende Logfile:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/17/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\avenger\backup-13.09.2003-18.33.00,04.zip/avenger/winmxw32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\avenger\backup.zip/avenger/temp.fr5EB5//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\setup.exe//data0007 infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WIN9X\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WINNT\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\movies\BlindWrite5_setup.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\WINNT\msiinst.tmp\msiexec.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1004\Dc32\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\okqipwgf\okqipwgf1.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\okqipwgf\okqipwgf2.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\okqipwgf\okqipwgf3.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\process.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\pv.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\swreg.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
E:\Appz\Archiv\sft.loader.v2.build.046.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
E:\Appz\DivX_Total_Pack171.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 126825
Gefundene Viren: 27
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 121
Dauer des Scans bisher: 02:14:30
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:59:59,06
Batchende: 22:00:04,57
*************************

Die spannende Frage nun ist, ob die gefundenen Viruse lediglich Fehlalarme sind, oder ob da noch was da ist.... :balla:

Schöne Grüße
Joggele

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\Programme\setup.exe

Folder to delete:
C:\WINDOWS\system32\okqipwgf

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

hallo ich bin neu hier und weiß nicht wie man ein eigenes thema erstellt,...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Zitat:

Zitat von sino (Beitrag 294540)

hallo ich bin neu hier und weiß nicht wie man ein eigenes thema erstellt,

Du gehst nach Klick und benützt den Button "Neues Thema".

Hi Sunny, ich habe mal wieder direkt deine Vorschläge befolgt. :)

Untenstehend die Ergebnisse. Könntest Du bitte nochmals drüber sehen?

Schönen Dank schonmal.

lg
Joggele

Zitat:

Zitat von [Gc]Sunny (Beitrag 294442)

Anleitung Avenger:

(...)

5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.

Oky, habe ich im normalen Mode gemacht, hier das Ergebnis:

+++++++++++++++++++++++++
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/19/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\avenger\backup-13.09.2003-18.33.00,04.zip/avenger/winmxw32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\avenger\backup-19.09.2007-19.27.09,89.zip/avenger/temp.fr5EB5//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\avenger\backup.zip/avenger/setup.exe//data0007 infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4.exe.vir infiziert von "Trojan-Downloader.Win32.Agent.dmb" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe//data0007 infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1004\Dc32\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\okqipwgf\okqipwgf1.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\okqipwgf\okqipwgf2.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\okqipwgf\okqipwgf3.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\process.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\pv.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\swreg.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
E:\Appz\DivX_Total_Pack171.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 135901
Gefundene Viren: 29
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 120
Dauer des Scans bisher: 01:56:23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:58:19,73
Batchende: 22:58:33,37
++++++++++++++++++++++++++++++++++

Zitat:

Zitat von [Gc]Sunny (Beitrag 294442)

Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Oky, da scheint beimn Löschen eines Verzeichnisses etwas nicht geklappt zu haben:

+++++++++++++++++++++++++++++
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ojkctrqk

*******************

Script file located at: \??\C:\WINDOWS\obhksbwc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\setup.exe deleted successfully.

File Folder to delete: not found!
Deletion of file Folder to delete: failed!

Could not process line:
Folder to delete:
Status: 0xc0000034

Error: C:\WINDOWS\system32\okqipwgf is a folder, not a file!
Deletion of file C:\WINDOWS\system32\okqipwgf failed!

Could not process line:
C:\WINDOWS\system32\okqipwgf
Status: 0xc00000ba

Completed script processing.

*******************

Finished! Terminate.

Morgen *einmisch*:blabla:

Du hast zwar schon versucht, die
Schädlinge in der Systemwiderherstellung
zu bereinigen, jedoch hängt dort immer
noch einiges fest.

Befolge noch einmal die Anleitung Sunny's für
Schädlinge in der Systemwiderherstellung.
Falls dein AV-Scanner nichts findet, benutze
die Anleitung des Avenger's von Sunny :), um
folgende Dateien zu deleten,
bevor du die´Systemwiderherstellung wieder aktivierst:

Zitat:

C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4 .exe.vir
C:\System Volume information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe

mfg Cleriker

Hallo! :)

Also ich habe jetzt versucht, die fraglichen Dateien mit Avenger zu löschen. Wenn ich das Logfile ansehe, dann scheint das aber nicht funtkioniert zu haben? :o

Also nun mal im Detail, was ich gemacht habe....

1. Systemwiederherstellung deaktiviert

2. Im normalen Modus (mit Root-Rechten)
habe ich folgendes in Avenger eingegen und dann den Rechner mit Root-Rechten im normalen Modus gestartet:
******************************

Files to delete:
C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4 .exe.vir
C:\System Volume information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe

**********************************************************

Hier dann das Ergebnis....

*****************************************
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tbwxlkin

*******************

Script file located at: \??\C:\thbbefmb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4 .exe.vir not found!
Deletion of file C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4 .exe.vir failed!

Could not process line:
C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4 .exe.vir
Status: 0xc0000034

Could not open file C:\System Volume information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe for deletion
Deletion of file C:\System Volume information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe failed!

Could not process line:
C:\System Volume information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe
Status: 0xc000003a

Could not open file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe for deletion
Deletion of file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe failed!

Could not process line:
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe
Status: 0xc000003a

Could not open file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe for deletion
Deletion of file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe failed!

Could not process line:
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe
Status: 0xc000003a

Could not open file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe for deletion
Deletion of file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe failed!

Could not process line:
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe
Status: 0xc000003a

Could not open file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe for deletion
Deletion of file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe failed!

Could not process line:
E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe
Status: 0xc000003a

Completed script processing.

*******************

Finished! Terminate.
******************

Soll ich vielleicht eScan nochmals laufen lassen? Vielleicht wurden die infizierten Dateien zwischenzeitlich vom Trojaner automatisch umbenannt? Oder sind die verseuchten Dateien vor Löschen geschützt?

Vorschläge und Tipps wären sehr Willkommen! :)

Schöne Grüße
Ironheart

Warum so kompliziert? :blabla:

Mach bitte folgendes, danach sollte dann endgültig Ruhe sein:

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Gruß
Sunny

Zitat:

Zitat von [Gc]Sunny (Beitrag 295493)

Warum so kompliziert? :blabla:
[B]

Ja, die 1-Mausklick-und-alle-Trojaner-und-Viren-sind-weg-Software wäre mir auch lieber :D

Folgendes habe ich nun gemacht

1. Systemwiederherstellung deaktiviert.

2. Windows im geschützten Modus gestartet

3. NAV gestartet. Mit neuen Signaturen. 3 Viren wurden erkannt und entfernt

4. Windows im normalen Modus gestartet und eScan gestartet.

Hier das Ergebnis:

***************
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.2
Sprache: German
Virus-Datenbank Datum: 9/24/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\avenger\backup-13.09.2003-18.33.00,04.zip/avenger/tlpjeumr.dll infiziert von "Trojan-Downloader.Win32.Zlob.csk" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\avenger\backup-19.09.2007-19.27.09,89.zip/avenger/win290.tmp.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\avenger\backup-24.09.2007-12.50.46,34.zip/avenger/setup.exe//data0007 infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1004\Dc32\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\process.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\pv.exe
Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\swreg.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
E:\Appz\DivX_Total_Pack171.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 133711
Gefundene Viren: 20
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 124
Dauer des Scans bisher: 02:02:17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:57:00,75
Batchende: 19:57:40,12

*********************

Danke für Meinungen und Tipps.

Schöne Grüße
Joggele

Na, was meint ihr denn bitte zu dem Log?! Also ab und zu flackert mein Monitor ganz kurz auf....kann es sein, das ich noch so ein Biest im System habe...?