|
virtumonde lässt sich nicht entfernen Hallo liebe Forengemeinde :) Bei der Installation einer neuen Firewall hatte ich ungeschützten Internetverkehr. :o Es kam, wie es kommen musste, und ich habe mir einige Sachen eingefangen, wobei sich nur "virtumonde" als äußerst hartnäckig herausstellt. :schmoll: Folgendes habe ich bereits im abgesicherten Modus gemacht: -avg-antiPsyware -> hat einen Trojaner gefunden und entfernt - Ad-Aware -> Findet nichts - Spybot search&destroy -> Meldet immer noch einen Registry-Eintrag von "virtumonde". Wenn ich diesen mit dem Programm entferne und dann nochmals scanne, ist er aber wieder da..... Ich poste untenstehend mal mein Hijack-File (durchgeführt im normalen (also nicht abgesicherten) Modus)). Es wäre super, wenn ihr das mal ansehen könntet und mir Tipps geben würdet. Für Eure Hinweise bedanke ich mich bereits jetzt! Schöne Grüße Joggele Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:08:47, on 12.09.2003 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\SecCenter\scprot4.exe C:\Programme\Symantec\LiveUpdate\ALuNotify.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe C:\Programme\Vidalia Bundle\Tor\tor.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file) O2 - BHO: (no name) - {64B94229-7967-860A-A0C2-034C02BA876B} - C:\Programme\Rigwhycd\tlpjeumr.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file) O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [odmtmtmn] rundll32.exe "C:\Programme\odmtmtmn\ydmfursh.dll",Init O4 - HKLM\..\Run: [cfoxexap] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cfoxexap.dll" O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe O4 - HKLM\..\Run: [ALUAlert] C:\Programme\Symantec\LiveUpdate\ALuNotify.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155982134483 O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll O20 - Winlogon Notify: winmxw32 - C:\WINDOWS\SYSTEM32\winmxw32.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing) O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe -- End of file - 9131 bytes |
http://www.world-of-smilies.com/smil...18_x_b_f_b.gif Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Gruß Sunny |
Hallo, vielen Dank für das erste Feedback :) Die Ergebnisse der Virustotal-Scans poste ich dann mal im Anschluss. Der eScan folgt in Kürze... Schöne Grüße Jogele ******************************************************************************************** Datei winmxw32.dll empfangen 2007.09.12 17:20:41 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 14/32 (43.75%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.10 2007.09.12 TR/Crypt.PEC2X.Gen Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.12 - AVG 7.5.0.485 2007.09.12 - BitDefender 7.2 2007.09.12 - CAT-QuickHeal 9.00 2007.09.12 - ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 Suspicious Trojan/Worm eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 Trojan.Win32.Dialer.qn Ikarus T3.1.1.12 2007.09.12 Trojan.Win32.Agent.qt Kaspersky 4.0.2.24 2007.09.12 Trojan.Win32.Dialer.qn McAfee 5117 2007.09.11 BackDoor-CVT Microsoft 1.2803 2007.09.12 - NOD32v2 2525 2007.09.12 Win32/Agent.QT Norman 5.80.02 2007.09.12 W32/Dialer.BOAZ Panda 9.0.0.4 2007.09.12 Suspicious file Prevx1 V2 2007.09.12 Trojan.Vundo Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 Troj/Nebule-Gen Sunbelt 2.2.907.0 2007.09.12 VIPRE.Suspicious Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 Dialer.DialXS.Gen!Pac.2 Webwasher-Gateway 6.0.1 2007.09.12 Trojan.Crypt.PEC2X.Gen weitere Informationen File size: 20480 bytes MD5: d58344aaded057df6c5bbd1b707e2003 SHA1: a03e044fe50e79e81ca56db0a051cd55450af04c packers: PECOMPACT packers: PecBundle, PECompact Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=64A0406E0015140750F000EE807DDA001FDBD8AC ************************************************************* Datei ydmfursh.dll empfangen 2007.09.12 17:26:29 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 3/32 (9.38%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.10 2007.09.12 HEUR/Crypted Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.12 - AVG 7.5.0.485 2007.09.12 - BitDefender 7.2 2007.09.12 - CAT-QuickHeal 9.00 2007.09.12 - ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 - eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 - Ikarus T3.1.1.12 2007.09.12 - Kaspersky 4.0.2.24 2007.09.12 - McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2525 2007.09.12 - Norman 5.80.02 2007.09.12 - Panda 9.0.0.4 2007.09.12 - Prevx1 V2 2007.09.12 Malware.Gen Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 - Sunbelt 2.2.907.0 2007.09.12 - Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 - Webwasher-Gateway 6.0.1 2007.09.12 Heuristic.Crypted weitere Informationen File size: 47104 bytes MD5: beee63662b4fd669f6a25b2e4f60e328 SHA1: 5960f2f6b140553a05884f287cafcd71761263f0 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=5785244E008A6D77B889008A0A7A6C0085FCF2AF ******************************************* C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cfoxexap.dll -> Diese gewünschte Datei habe ich nicht auf der Festplatte. ********************************************* Datei scprot4.exe empfangen 2007.09.12 17:36:03 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/32 (3.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 4. Geschätzte Startzeit is zwischen 52 und 75 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.10 2007.09.12 - Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.12 - AVG 7.5.0.485 2007.09.12 - BitDefender 7.2 2007.09.12 - CAT-QuickHeal 9.00 2007.09.12 - ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 - eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 - Ikarus T3.1.1.12 2007.09.12 - Kaspersky 4.0.2.24 2007.09.12 - McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2525 2007.09.12 - Norman 5.80.02 2007.09.12 - Panda 9.0.0.4 2007.09.12 - Prevx1 V2 2007.09.12 Malware.Gen Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 - Sunbelt 2.2.907.0 2007.09.12 - Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 - Webwasher-Gateway 6.0.1 2007.09.12 - weitere Informationen File size: 266240 bytes MD5: 907204e26f071580a0c260fcd4bd0fe7 SHA1: e27ba7b5bb650c1df8a53e977164eca5265be084 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=BF29609900B5A9B010D804A8C708670020BF06D4 ************************************************************* Datei tlpjeumr.dll empfangen 2007.09.12 17:45:19 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 3/32 (9.38%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 48 und 68 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.10 2007.09.12 HEUR/Crypted Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.12 - AVG 7.5.0.485 2007.09.12 - BitDefender 7.2 2007.09.12 - CAT-QuickHeal 9.00 2007.09.12 - ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 - eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 - Ikarus T3.1.1.12 2007.09.12 - Kaspersky 4.0.2.24 2007.09.12 - McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2525 2007.09.12 - Norman 5.80.02 2007.09.12 - Panda 9.0.0.4 2007.09.12 - Prevx1 V2 2007.09.12 Malware.Gen Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 - Sunbelt 2.2.907.0 2007.09.12 - Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 - Webwasher-Gateway 6.0.1 2007.09.12 Heuristic.Crypted weitere Informationen File size: 98304 bytes MD5: e27b61523b2a122e77d752e1bae8db1e SHA1: df3c854fc8344d30d146644e9df16c6f902602b6 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=8549DDBA0071D840802F01DAA1F16C00A07C7C79 |
Gut gemacht :daumenhoc ... nun noch den eScan durchführen und danach geht es mit der Bereinigung weiter. ;) Sunny |
Hallo, ich habe jetzt mehrmals die Vorgehensweise wie für eScan beschrieben befolgt. Leider bekomme ich das nicht gebacken. Ich folge der Version "eScan-Anleitung für User ohne! Router.......... " Ich komme bis zu dem Punkt "7. Escan beenden und in den abgesicherten Modus wechseln. (den Account verwenden, der für das Update von eScan verwendet wurde)". Ich muss dann aber im abgesicherten Modus feststellen, dass sich auf der gesamten HD keine Datei "mwavscan.com" befindet. Ich habe die Vermutung, dass der Fehler bei einem früheren Punkt der Anleitung liegt. Denn bevor der abgebildete Screen mit den "licence agreements" angezeigt wird, werden die Programmdateien extrahiert. Das macht das Installationsprogramm in ein Temporäres Verzeichnis in einem User-Verzeichnis....zwar wird ein "Browse" zum Wechsel des Verzeichnises angezeigt, dieser Button ist aber ausgegraut/deaktivert....kann es vielelicht daran liegen.... Schöne Grüße Joggele |
.....arrrrrgh.....! Ich krieg Plack! Wenn ich nach etwas google und einen Treffer anklicke, dann lande ich auf irgendeiner shice-Site, nur nicht der, die mir unter Google angezeigt wurde......hat mir mal jemand die Adresse des Trojaner-Coders.... :teufel2: |
Da eScan noch nicht will wie es soll, fangen wir mal vorzeitig mit einer Bereinigung an: Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, dieses mal im normalen Modus, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. außerdem: Suche in folgendem Ordner die Datei -> hosts und öffne sie mit dem Editor. (rechte Maustaste auf die Datei!) c:\windows\system32\drivers\etc\hosts kopiere den gesamten Inhalt der Datei hier mit in den Beitrag. Sunny |
Hallo :sleepy: der Scan ist nun beendet, und es wurden auch ein paar "Kleinigkeiten" gefunden. :rolleyes: Nun aber mal der Reihe nach.... 1. Avenger Das hat geklappt. Hier das Protokoll: ************** Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\oj^ycnmx ******************* Script file located at: \??\C:\WINDOWS\fjtmxpat.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Programme\Rigwhycd\tlpjeumr.dll deleted successfully. File C:\WINDOWS\SYSTEM32\winmxw32.dll deleted successfully. File C:\Programme\odmtmtmn\ydmfursh.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. ********************** 2. eScan im normalen Modus (mit Administrator-Account) Wie gesagt, da wurden so ein paar Sachen gefunden. Das Protokoll "MWAV.TXT") beinhaltet alle 156000 gescannten Dateien inkl. Pfad und hat 17 MB. Also das poste ich mal nicht... In Zeile 5 wird allerdings eine Logdatei genannt ("C:\DOKUME~1\Ch\LOKALE~1\Temp\MWAV.LOG"). Diese gibt es aber gar nicht in diesem Verzeichnis. :confused: Liegt das vielelicht daran, dass das ein temporäres Verzeichnis ist und ich zwischenzeitlich den Rechner neu gebootet habe? Soll ich dann eScan die nächsten Stunden nochmal laufen lassen? Alternativ könnte ich auch alle Zeilen mit dem Stichwort "infiziert" aus der 17MB-Datei rauskopieren.....? 3. hosts Wenigstens diese Datei ist sauber....wäre ja auch zu einfach.... ************************************ # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost *********************************************** Schöne Grüße :) Joggele |
Sehr schön :daumenhoc Um das eScan Ergebnis zu posten brauchst du die find.bat. Einfach runterladen auf den Desktop und ausführen, danach wird eine Text-Datei erstellt, kopiere den gesamten Inhalt ab und poste diesen hier! Die find.bat gibt es hier -> http://files.trojaner-board.de/find.bat Sunny ;) |
...ach so,....find.bat....here we are....hoffe mal, dass der Befund nicht zu schlimm ist.... :heulen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.2 Sprache: German Virus-Datenbank Datum: 9/12/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\DOKUME~1\Ch\LOKALE~1\Temp\temp.fr5EB5 infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\avenger\backup.zip infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde.zip infiziert von "Password-protected-EXE" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Ch\Lokale Einstellungen\Temp\temp.fr5EB5 infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\4L6FKLEF\cad_111[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\896J41MZ\cha_111[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\setup.exe infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP349\A0096186.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP349\A0096431.com infiziert von "EICAR-Test-File" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP350\A0098204.exe infiziert von "Trojan-Downloader.Win32.Small.eqn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP361\A0103472.exe infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP361\A0104604.exe infiziert von "Trojan-Downloader.Win32.Small.ddp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP362\A0106499.dll infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP362\A0106508.exe infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\temp\gos294.tmp infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\temp\win286.tmp infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\temp\win290.tmp.exe infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WIN9X\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WINNT\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\movies\BlindWrite5_setup.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1003\De5\Norton AntiVirus\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1003\De5\Norton AntiVirus\Quarantine\0BF750D1 infiziert von "Trojan-Downloader.Win32.Small.ckj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1003\De5\Norton AntiVirus\Quarantine\0DE83EAE infiziert von "Exploit.HTML.CodeBaseExec" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1003\De5\Norton AntiVirus\Quarantine\4C436ED1 infiziert von "Trojan-Downloader.Win32.IstBar.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\WINNT\msiinst.tmp\msiexec.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\internet.lnk Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\pv.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\swreg.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = winmxw32.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winmxw32). Deleting Registry Key winmxw32... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CommonDialogs.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader2.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader3.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader4.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader5.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader6.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MagicAntiSpy.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsActiveDesktop.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSOffice.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SearchFind.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde2.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde3.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde4.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde5.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsActiveDesktop.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Zlockuc.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\NAV\Pre Crack 207.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\NAV07 KEYGEN CRACK.bat nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\Support\YahooToolbar\YTB.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV_2007.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\4PST6RC9\xpprointegratedaugust07dailywarez[1].part1.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP330\A0092233.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2R6B2HAV\Ultraviolet[1].CiF.part4.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2R6B2HAV\Ultraviolet[1].CiF.part6.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4NF7MO59\vonesvcd[1].part04.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6QQDH506\Ultraviolet[1].CiF.part5.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6QQDH506\Ultraviolet[1].CiF.part7.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8X2NQR45\Ultraviolet[1].CiF.part2.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\95148BG1\Ultraviolet[1].CiF.part3.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\95148BG1\Ultraviolet[1].CiF.part8.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5UFW5MB\Ultraviolet[1].CiF.part1.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UUNARIBT\vonesvcd[1].part03.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1034.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1042.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1046.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1107.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1108.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1109.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1110.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1111.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1112.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1113.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1114.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1115.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1116.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1117.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1118.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1119.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1120.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 156396 Gefundene Viren: 39 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 127 Dauer des Scans bisher: 04:17:29 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 11:30:02,56 Batchende: 11:30:46,32 |
Da ist noch einiges im System verankert, werde es mir nach Feierabend, also späterer Nachmittag ansehen, das jetzt zwischen "Tür & Angel" zu bereinigen ist nicht mein Ding. ;) Aber ich denke das wir dein System wieder hinkriegen! :daumenhoc Sunny |
Zitat:
|
Zitat:
Kommt Zeit, kommt RAT... ;) |
Hallo :) So arbeite nun folgendes Schritt für Schritt ab, sollte etwas nicht klappen einfach noch mal melden: Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Hijacklog! Poste ausserdem den Inhalt der C:\avenger.txt Datei. Sunny |
Hallo :) dann will ich mal erzählen, was ich gemacht habe, und wie die einzelnen Schritte so abliefen.... Bleibt noch anzumerken, dass ich mal ein wenig auf meiner HD aufgeräumt habe und einige Sachen gelöscht habe. Deshalb ist der Scan nun auch ein wenig schneller (ca. 4h). An merkbaren Trojaner-Aktivitäten habe ich unten rechts noch ein kleines gelbes Dreieck mit einem "!". Dort erscheint regelmäßig ein Popup mit "Integrity Threats detected!", was mich auffordert, Dateien nachzuladen.... Schöne Grüße Joggele 1. Systemwiederherstellung DEaktiviert 2. Avenger mit dem genannten Input gestartet und reboot in dem normalem Modus. Hier das Log-File: ***************** Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\jupurwsr ******************* Script file located at: \??\C:\WINDOWS\system32\arpaiyn^.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\DOKUME~1\Ch\LOKALE~1\Temp\temp.fr5EB5 deleted successfully. File C:\WINDOWS\temp\gos294.tmp i not found! Deletion of file C:\WINDOWS\temp\gos294.tmp i failed! Could not process line: C:\WINDOWS\temp\gos294.tmp i Status: 0xc0000034 File C:\WINDOWS\temp\win286.tmp not found! Deletion of file C:\WINDOWS\temp\win286.tmp failed! Could not process line: C:\WINDOWS\temp\win286.tmp Status: 0xc0000034 File C:\WINDOWS\temp\win290.tmp.exe deleted successfully. File Folder to delete: not found! Deletion of file Folder to delete: failed! Could not process line: Folder to delete: Status: 0xc0000034 Error: C:\avenger is a folder, not a file! Deletion of file C:\avenger failed! Could not process line: C:\avenger Status: 0xc00000ba Completed script processing. ******************* Finished! Terminate. *************************** 3. Start von eScan und Update durcjgeführt. Dann Wechsel in den abgesicherten Modus. Leider befindet sich entgegen der Anleitung keine Datei Namens "mwavscan.com" auf der Festplatte. Deshalb: 4. Reboot in den normalen Modus. Und Start von eScan. Hier das Ergebnis: ************************************** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.2 Sprache: German Virus-Datenbank Datum: 9/13/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\avenger\backup-13.09.2003-18.33.00,04.zip infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\avenger\backup.zip infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde.zip infiziert von "Password-protected-EXE" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\4L6FKLEF\cad_111[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\896J41MZ\cha_111[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\setup.exe infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\temp\gos294.tmp infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WIN9X\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WINNT\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\movies\BlindWrite5_setup.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\WINNT\msiinst.tmp\msiexec.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\internet.lnk Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\pv.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\swreg.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CommonDialogs.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader2.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader3.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader4.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader5.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InetLoader6.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MagicAntiSpy.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsActiveDesktop.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSOffice.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SearchFind.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde2.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde3.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde4.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde5.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WindowsActiveDesktop.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Zlockuc.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\NAV\Pre Crack 207.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\NAV07 KEYGEN CRACK.bat nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV07\Support\YahooToolbar\YTB.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Desktop\progz\NAV_2007.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\4PST6RC9\xpprointegratedaugust07dailywarez[1].part1.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2R6B2HAV\Ultraviolet[1].CiF.part4.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2R6B2HAV\Ultraviolet[1].CiF.part6.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4NF7MO59\vonesvcd[1].part04.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6QQDH506\Ultraviolet[1].CiF.part5.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6QQDH506\Ultraviolet[1].CiF.part7.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8X2NQR45\Ultraviolet[1].CiF.part2.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\95148BG1\Ultraviolet[1].CiF.part3.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\95148BG1\Ultraviolet[1].CiF.part8.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5UFW5MB\Ultraviolet[1].CiF.part1.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UUNARIBT\vonesvcd[1].part03.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1034.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1042.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1046.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1107.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1108.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1109.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1110.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1111.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1112.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1113.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1114.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1115.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1116.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1117.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1118.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1119.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\De1\Dc1120.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 142189 Gefundene Viren: 25 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 120 Dauer des Scans bisher: 03:25:37 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 22:34:21,03 Batchende: 22:35:08,37 ****************************** |
Hallo liebe Forengemeinde, also einige der Plagegeister bin ich bereits losgeworden :) Einzige bemerkbare "Anomalität" ist nun dieses Dreicke mit dem "!" in der Taskliste. Wenn ich darauf klicke, erscheint ein Fesnter "Personal Security Center". Vielleicht kann mir ja jemand einen Tip geben, wie ich den los werde? Das Ergebnis eines aktuellen eScans findet ihr in meinem Posting unten. Schönen Dank schonmal und viele Grüße Joggele |
Hallo. :) Du bist mir irgendwie abhanden gekommen ... :D Mach bitte nun folgendes: Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte es dann und lass das System durchsuchen und bereinigen. (Option 2) http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Gruß Sunny |
Hi Sunny, schönen Dank für die intensive Betreuung! :) Also ich habe das jetzt so wie von Dir vorgeschlagen gemacht, und es sieht gut aus. Ich kann keine Trojaneraktivitäten mehr feststellen. - Auch dieses Symbol in der Taskliste und das Popoup ist weg! :Boogie: Was mich ein wenig stutzig macht, ist dass die HD noch rattert, während ich das hier schreibe. Ist da vielleicht noch irgendein Mistvieh versteckt oder ist das ein Feature von Windows? :confused: Also hier mal die Ergebnisse der Sachen, die ich nun gemacht habe: 1. Smitfraudfix - Im normalen Mode ge"searched" und - im abgesicherten Modus cleanen lassen Hier das Logfile: ********************************* mitFraudFix v2.225 Scan done at 17:37:40,50, 17.09.2003 Run from C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{A4B11A94-193D-4F51-AAC0-2472DEC496B8}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{A4B11A94-193D-4F51-AAC0-2472DEC496B8}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{A4B11A94-193D-4F51-AAC0-2472DEC496B8}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End 2. ComboFix im normalen Modus gestartet Hier das Logfile: ********************************* ComboFix 07-09-17.2 - "Ch" 2003-09-17 17:43:04.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.193 [GMT 2:00] * Created a new restore point . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\DOKUME~1\Ch\Desktop\internet.lnk C:\Programme\SecCenter C:\Programme\SecCenter\scprot4.exe C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com E:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2007-08-17 bis 2007-09-17 )))))))))))))))))))))))))))))) . 2007-09-11 19:46 <DIR> d-------- C:\Programme\odmtmtmn 2007-09-11 19:23 <DIR> d-------- C:\Programme\Norton Internet Security 2007-09-11 19:21 48,824 --a------ C:\WINDOWS\system32\S32EVNT1.DLL 2007-09-11 19:21 108,728 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2007-08-31 20:06 <DIR> d-------- C:\DOKUME~1\User\gez 2007-08-30 20:48 <DIR> d-------- C:\WINDOWS\E80F62FF5D3C4A1984099721F2928206.TMP 2007-08-30 19:21 <DIR> d-------- C:\DOKUME~1\User\ANWEND~1\Symantec . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-17 17:43 --------- d-------- C:\DOKUME~1\Ch\ANWEND~1\Tor 2007-09-11 19:27 --------- d-------- C:\Programme\Symantec 2007-09-06 00:22 289144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-09-03 22:07 --------- d-------- C:\DOKUME~1\User\ANWEND~1\BOM 2007-08-31 21:37 --------- d-------- C:\Programme\Biet-O-Matic 2007-08-30 18:44 --------- d-------- C:\DOKUME~1\Ch\ANWEND~1\Symantec 2007-08-07 19:10 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe Systems 2007-08-07 19:09 --------- d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared 2007-08-07 00:09 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet 2007-08-04 16:11 --------- d-------- C:\Programme\Vidalia Bundle 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll 2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll 2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll 2007-07-21 18:48 --------- d-------- C:\DOKUME~1\User\ANWEND~1\Ahead 2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll 2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll 2003-09-11 19:56 76285 --a------ C:\Programme\setup.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{64B94229-7967-860A-A0C2-034C02BA876B}] C:\Programme\Rigwhycd\tlpjeumr.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-25 21:10] "SoundMan"="SOUNDMAN.EXE" [2003-12-19 11:53 C:\WINDOWS\SOUNDMAN.EXE] "EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2003-05-27 05:08] "DataLayer"="C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe" [2005-06-07 11:31] "PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2005-06-29 15:29] "D-Link Air USB Utility"="C:\Programme\D-Link\Air USB Utility\AirCFG.exe" [2004-05-25 19:09] "ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-04-14 12:54] "HydraVisionDesktopManager"="C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe" [2003-04-01 16:41] "Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 11:58] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-09-03 00:04] "osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2006-09-05 18:22] "!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [] "SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2006-05-08 06:17] "Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-08-02 09:23] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48] C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\ Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 02:19:50] Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26] Privoxy.lnk - C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 16:30:54] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "NoDispBackgroundPage"=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Antiwpa] antiwpa.dll 2005-12-29 19:26 5376 C:\WINDOWS\system32\antiwpa.dll R3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\PRISMUSB.sys S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys S3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys *Newly Created Service* - CATCHME *Newly Created Service* - COMHOST . Inhalt des "geplante Tasks" Ordners "2007-09-11 17:34:39 C:\WINDOWS\Tasks\Norton Internet Security - Vollständige Systemprüfung ausführen - Ch.job" . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-17 17:47:37 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** . Completion time: 2007-09-17 17:49:04 C:\ComboFix-quarantined-files.txt ... 2007-09-17 17:48 . --- E O F --- Schöne Grüße, Joggele |
Zitat:
Das mit dem "rattern" sollte nach einem Neustart, so hoffe ich es, wieder verschwunden sein. Bevor du das aber tust mach bitte noch folgendes: Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Der eScan dauert zwar, aber ich will sehen was noch gefunden wird! (Systemwiederherstellung kann nun wieder aktiviert werden.) Sunny |
Zitat:
Zitat:
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.2 Sprache: German Virus-Datenbank Datum: 9/17/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\avenger\backup-13.09.2003-18.33.00,04.zip/avenger/winmxw32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\avenger\backup.zip/avenger/temp.fr5EB5//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\setup.exe//data0007 infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WIN9X\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\Appz\Archiv\Norton Internet Security 2006\2006.nis-galedo\WINNT\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\movies\BlindWrite5_setup.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\WINNT\msiinst.tmp\msiexec.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1004\Dc32\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\okqipwgf\okqipwgf1.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\okqipwgf\okqipwgf2.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\okqipwgf\okqipwgf3.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\moveex.exe Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\pv.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\swreg.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ E:\Appz\Archiv\sft.loader.v2.build.046.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... E:\Appz\DivX_Total_Pack171.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 126825 Gefundene Viren: 27 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 121 Dauer des Scans bisher: 02:14:30 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 21:59:59,06 Batchende: 22:00:04,57 ************************* Die spannende Frage nun ist, ob die gefundenen Viruse lediglich Fehlalarme sind, oder ob da noch was da ist.... :balla: Schöne Grüße Joggele |
Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. |
hallo ich bin neu hier und weiß nicht wie man ein eigenes thema erstellt,... [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit] |
Zitat:
|
Hi Sunny, ich habe mal wieder direkt deine Vorschläge befolgt. :) Untenstehend die Ergebnisse. Könntest Du bitte nochmals drüber sehen? Schönen Dank schonmal. lg Joggele Zitat:
+++++++++++++++++++++++++ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.2 Sprache: German Virus-Datenbank Datum: 9/19/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\avenger\backup-13.09.2003-18.33.00,04.zip/avenger/winmxw32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\avenger\backup-19.09.2007-19.27.09,89.zip/avenger/temp.fr5EB5//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\avenger\backup.zip/avenger/setup.exe//data0007 infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4.exe.vir infiziert von "Trojan-Downloader.Win32.Agent.dmb" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe//data0007 infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1004\Dc32\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\okqipwgf\okqipwgf1.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\okqipwgf\okqipwgf2.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\okqipwgf\okqipwgf3.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\moveex.exe Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\pv.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\swreg.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ E:\Appz\DivX_Total_Pack171.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 135901 Gefundene Viren: 29 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 120 Dauer des Scans bisher: 01:56:23 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 22:58:19,73 Batchende: 22:58:33,37 ++++++++++++++++++++++++++++++++++ Zitat:
+++++++++++++++++++++++++++++ Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ojkctrqk ******************* Script file located at: \??\C:\WINDOWS\obhksbwc.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Programme\setup.exe deleted successfully. File Folder to delete: not found! Deletion of file Folder to delete: failed! Could not process line: Folder to delete: Status: 0xc0000034 Error: C:\WINDOWS\system32\okqipwgf is a folder, not a file! Deletion of file C:\WINDOWS\system32\okqipwgf failed! Could not process line: C:\WINDOWS\system32\okqipwgf Status: 0xc00000ba Completed script processing. ******************* Finished! Terminate. |
*schubs* ;) |
Morgen *einmisch*:blabla: Du hast zwar schon versucht, die Schädlinge in der Systemwiderherstellung zu bereinigen, jedoch hängt dort immer noch einiges fest. Befolge noch einmal die Anleitung Sunny's für Schädlinge in der Systemwiderherstellung. Falls dein AV-Scanner nichts findet, benutze die Anleitung des Avenger's von Sunny :), um folgende Dateien zu deleten, bevor du die´Systemwiderherstellung wieder aktivierst: Zitat:
|
Hallo! :) Also ich habe jetzt versucht, die fraglichen Dateien mit Avenger zu löschen. Wenn ich das Logfile ansehe, dann scheint das aber nicht funtkioniert zu haben? :o Also nun mal im Detail, was ich gemacht habe.... 1. Systemwiederherstellung deaktiviert 2. Im normalen Modus (mit Root-Rechten) habe ich folgendes in Avenger eingegen und dann den Rechner mit Root-Rechten im normalen Modus gestartet: ****************************** Files to delete: C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4 .exe.vir C:\System Volume information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe ********************************************************** Hier dann das Ergebnis.... ***************************************** Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\tbwxlkin ******************* Script file located at: \??\C:\thbbefmb.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4 .exe.vir not found! Deletion of file C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4 .exe.vir failed! Could not process line: C:\qoobox\Quarantine\C\Programme\SecCenter\scprot4 .exe.vir Status: 0xc0000034 Could not open file C:\System Volume information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe for deletion Deletion of file C:\System Volume information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe failed! Could not process line: C:\System Volume information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007632.exe Status: 0xc000003a Could not open file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe for deletion Deletion of file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe failed! Could not process line: E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0001081.exe Status: 0xc000003a Could not open file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe for deletion Deletion of file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe failed! Could not process line: E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0002085.exe Status: 0xc000003a Could not open file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe for deletion Deletion of file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe failed! Could not process line: E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007077.exe Status: 0xc000003a Could not open file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe for deletion Deletion of file E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe failed! Could not process line: E:\System Volume Information\_restore{5EB547B1-4E02-494E-8CC0-140378E877DF}\RP2\A0007544.exe Status: 0xc000003a Completed script processing. ******************* Finished! Terminate. ****************** Soll ich vielleicht eScan nochmals laufen lassen? Vielleicht wurden die infizierten Dateien zwischenzeitlich vom Trojaner automatisch umbenannt? Oder sind die verseuchten Dateien vor Löschen geschützt? Vorschläge und Tipps wären sehr Willkommen! :) Schöne Grüße Ironheart |
Warum so kompliziert? :blabla: Mach bitte folgendes, danach sollte dann endgültig Ruhe sein: Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Gruß Sunny |
Zitat:
Folgendes habe ich nun gemacht 1. Systemwiederherstellung deaktiviert. 2. Windows im geschützten Modus gestartet 3. NAV gestartet. Mit neuen Signaturen. 3 Viren wurden erkannt und entfernt 4. Windows im normalen Modus gestartet und eScan gestartet. Hier das Ergebnis: *************** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.2 Sprache: German Virus-Datenbank Datum: 9/24/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\avenger\backup-13.09.2003-18.33.00,04.zip/avenger/tlpjeumr.dll infiziert von "Trojan-Downloader.Win32.Zlob.csk" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\avenger\backup-19.09.2007-19.27.09,89.zip/avenger/win290.tmp.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\avenger\backup-24.09.2007-12.50.46,34.zip/avenger/setup.exe//data0007 infiziert von "Trojan-Downloader.Win32.Zlob.cme" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Ch\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\User\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-1004\Dc32\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\moveex.exe Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitfraudfix\smitfraudfix\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\process.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\pv.exe Offending file found: C:\Dokumente und Einstellungen\Ch\Desktop\smitrem\swreg.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ E:\Appz\DivX_Total_Pack171.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 133711 Gefundene Viren: 20 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 124 Dauer des Scans bisher: 02:02:17 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 19:57:00,75 Batchende: 19:57:40,12 ********************* Danke für Meinungen und Tipps. Schöne Grüße Joggele |
Na, was meint ihr denn bitte zu dem Log?! Also ab und zu flackert mein Monitor ganz kurz auf....kann es sein, das ich noch so ein Biest im System habe...? |
*schubs* :) |
Hi, na dann erlös ich dich mal. ;) Die von eScan gemeldeten Funde gehören zu den verschiedenen Tools, die du zum entfernen der Trojaner benutzt hast. Sind also False-Positives. Ich vermute die Funde von Norton waren die Backupordner dieser Tools? Ansonsten siehts sauber aus. Kannst ja noch schnell ein Hijackthislog posten um das zu überprüfen. lg myrtille |
Hi, Ja, die Funde von Norton sind wohl die Backups...uff, ich habs ja nicht mehr geglaubt, dass das System sauber wird....:Boogie: Für das abschliessende Hijack-Logfile mach ich dann nen eigenen Fred auf link Vielen Dank für Eure kompetente und freundliche Unterstützung, besonders an Sunny! :party: Grüße Joggele |
Zitat:
Es sind ein paar Einträge, die ich noch nicht ganz gut finden kann: Folgende Einträge bitte fixen: Zitat:
Zitat:
lg myrtille |
Hallo. ich Danke Dir für Dein feedback! Zitat:
Der Check mit Virustotal schlägt keinen Alarm. so weit also alles ok.... ********************** Datei msconfig.exe empfangen 2007.10.04 21:32:31 (CET) Status: Beendet Ergebnis: 0/32 (0%) ****************************** Zitat:
Und was soll ich denn bitte mit den anderen Einträgen "O2 - BHO..." anstellen? Solche Fälle hatte ich bisher noch nicht.... Schöne Grüße Joggele |
Hi, MSConfig ist nicht an der erwarteten Stelle, das ist alles. Ich hab mich nur gewundert. ;) Normalerweise steckt das unter: C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe Bei dir liegt es allerdings in folgendem Ordner: C:\WINDOWS\ServicePackFiles\i386\msconfig.exe Was im Endeffekt wahrscheinlich bedeutet, dass entweder die ursprüngliche Datei entfernt oder beschädigt wurde, oder dass die Datei mit einem der Windowsupdates verändert wurde und deswegen jetzt die andere Version verwendet wird. Aber Kontrolle ist bei sowas immer besser als Vermuten/Wissen. ;) Fixen bedeutet einfach, dass du erneut einen Scan mit Hijackthis machst. Wähle die Option "Do a Systemscan only", wenn der Scan fertig ist, setzt du ein Kreuz bei den zitierten Einträgen und klickst weiter unter auf "Fix checked" fertig. Die Datei sollte bereits gelöscht worden sein, es geht nur noch um die Registryeinträge, die entfernt werden sollen. lg myrtille |
Hallo Myrtille! Zitat:
******************************************** Logfile of HijackThis v1.99.1 Scan saved at 23:19:40, on 04.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe C:\Programme\Vidalia Bundle\Tor\tor.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Ch\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155982134483 O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing) O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe *********************************** Schöne Grüße Joggele |
Sieht gut aus! :daumenhoc lg myrtille |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board