|
Bitte um Hilfe bei Log-File Auswertung Hallo, ich habe hier einige Beiträge gelesen und wollte meinen PC auch mal prüfen. Könntet ihr mir sagen, ob alles in Ordnung ist, oder ob ich doch was verdächtiges auf dem PC habe? Danke! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:16:52, on 18.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Yahoo!\Widgets\YahooWidgetEngine.exe C:\Programme\Brother\Brmfcmon\BrMfcmon.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://runonce.msn.com/?v=msgrv75 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.web.de/home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.web.de/home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Audio Device Manager] winfp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Widgets\YahooWidgetEngine.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u2-windows-i586-jc.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-de.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: WEB.DE Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Web.de\adminsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe -- End of file - 9156 bytes |
Hallo, Zitat:
|
Zitat:
|
Was soll ich dazu sagen? ;) |
hijackthis.de sagt: O4 - HKLM\..\Run: [Audio Device Manager] winfp.exe Nicht bekanntes Programm. Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft. Nur weiß ich nicht wirklch, was ich mit dieser Info anfangen soll, da ich nicht wirklich ein PC experte bin. |
Ups. Das sieht böse aus. Versuche, die Datei bei Virustotal zu scannen und poste das komplette Ergebnis. Sie sollte sich im Windows-Ordner befinden. Ich fürchte aber, dass es auf format c: hinausläuft. :( Denn der Dateiname weist auf einen Bot hin, also vereinfacht gesagt auf ein Programm, das anderen die Fernsteuerung deines Rechners ermöglicht. |
|
Kann die Datei im Window-Ordner nicht finden und suchen hat auch nix ergeben. Format C ist das letzte, was ich jetzt noch gebrauchen kann. :( Zudem hat mir hijackthis.de noch das als schädlich eingestuft: O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe Dieser Dienst (Boonty.exe) scheint schädlich zu sein. Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft. |
Hast du alle Dateien sichtbar gemacht? Taucht winfp.exe im Taskmanager auf? Wenn ja, lässt sich der Prozess beenden? |
Hab alles so eingestellt, wie in der Anleitung beschrieben, aber wird trotzdem nichts gefunden. Im Task-Manager ist auch nichts aufgelistet |
Dann versuchen wir halt, das Ding zu :snyper: Ich kann aber dabei grundsätzlich keine Garantie für die Sicherheit deiner Daten und die Stabilität deines Systems übernehmen. 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. |
Hab ne neue Suche gestarten, bevor ich deine Antwort gelesen habe und bis jetzt hat der Suchlauf das gefunden: Zwei mal in AntiVir-LOGFILES Zwei mal in hijackthis-log und in CollectedData_2203.xml und CollectedData_2114.xml Suche läuft aber noch. Ist eben geendet. |
Was sagt das AntiVir-Logfile? |
AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Donnerstag, 13. September 2007 00:49 Es wird nach 1066939 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: *** Computername: *** Versionsinformationen: BUILD.DAT : 268 15604 Bytes 31.08.2007 13:01:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 09.09.2007 17:00:04 AVSCAN.DLL : 7.0.6.0 57384 Bytes 09.09.2007 17:00:04 LUKE.DLL : 7.0.5.3 147496 Bytes 09.09.2007 17:00:04 LUKERES.DLL : 7.0.6.0 10792 Bytes 09.09.2007 17:00:04 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:46 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 10:53:16 ANTIVIR2.VDF : 6.39.1.120 1918464 Bytes 12.09.2007 22:46:00 ANTIVIR3.VDF : 6.39.1.123 50176 Bytes 12.09.2007 22:46:00 AVEWIN32.DLL : 7.6.0.10 2789888 Bytes 12.09.2007 22:46:02 AVWINLL.DLL : 1.0.0.7 14376 Bytes 19.04.2007 17:56:52 AVPREF.DLL : 7.0.2.2 25640 Bytes 09.09.2007 17:00:04 AVREP.DLL : 7.0.0.1 155688 Bytes 19.04.2007 17:56:54 AVPACK32.DLL : 7.3.0.15 360488 Bytes 04.08.2007 16:57:08 AVREG.DLL : 7.0.1.6 30760 Bytes 09.09.2007 17:00:04 AVARKT.DLL : 1.0.0.20 278568 Bytes 09.09.2007 17:00:02 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 09.09.2007 17:00:02 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:04 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 09.09.2007 16:59:58 RCTEXT.DLL : 7.0.62.0 90152 Bytes 09.09.2007 16:59:58 SQLITE3.DLL : 3.3.17.1 339968 Bytes 09.09.2007 17:00:04 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: K:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Donnerstag, 13. September 2007 00:49 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FxSvr2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PAStiSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ADMINSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'YahooWidgetEngine.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DAEMON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'backWeb-8876480.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winfp.exe' - '1' Modul(e) wurden durchsucht Modul ist infiziert -> 'C:\WINDOWS\winfp.exe' Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'JUSCHED.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BRCTRCEN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PPTD40NT.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LogiTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LVCOMSX.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BRSVC01A.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht Prozess 'winfp.exe' wird beendet C:\WINDOWS\winfp.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756 [INFO] Die Datei wurde gelöscht. Es wurden '44' Prozesse mit '43' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Bootsektor 'E:\' [HINWEIS] Im Laufwerk 'E:\' ist kein Datenträger eingelegt! Bootsektor 'F:\' [HINWEIS] Im Laufwerk 'F:\' ist kein Datenträger eingelegt! Bootsektor 'G:\' [HINWEIS] Im Laufwerk 'G:\' ist kein Datenträger eingelegt! Bootsektor 'H:\' [HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt! Bootsektor 'I:\' [HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '43' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\img4851.zip [0] Archivtyp: ZIP --> img4851.jpg-www.myspace.com [FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756 [INFO] Die Datei wurde gelöscht. C:\WINDOWS\lastnight.zip [0] Archivtyp: ZIP --> lastnight.jpeg-imagehost.m5t.com [FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756 [INFO] Die Datei wurde gelöscht. C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{09F4DA09-CDDE-43A2-9A47-62D7CDC56140}\RP209\A0040124.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Sdbot.22756 [INFO] Die Datei wurde gelöscht. Beginne mit der Suche in 'A:\' Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden! Falscher Parameter. Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'G:\' Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'H:\' Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'I:\' Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'J:\' Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden! Das Gerät ist nicht bereit. Beginne mit der Suche in 'K:\' <My Disc> Ende des Suchlaufs: Donnerstag, 13. September 2007 01:28 Benötigte Zeit: 39:21 min Der Suchlauf wurde vollständig durchgeführt. 6686 Verzeichnisse wurden überprüft 191775 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 4 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 191770 Dateien ohne Befall 1256 Archive wurden durchsucht 2 Warnungen 94 Hinweise Das sagt der Logfile |
Jaja, das passt ins Bild. Da ist der Bot: Zitat:
Zitat:
Eine Begründung, warum dies für ein vertrauenswürdiges System notwendig ist, will ich dir nicht vorenthalten: Homepage von Malte J. Wetz |
Ich habe nur ein Problem, da mein Brenner nicht funktioniert, kann ich meine Daten nicht sichern :( |
USB-Stick? Externe Festplatte? |
Externe Festplatte habe ich, nur ist die nicht groß genug, aber ich versuch´s mal. Ich hoffe, dass ich nach dem neuaufsetzen keine Probleme mehr habe. |
Muss ich wirklich neu aufsetzen? Kann ich das nicht auch anders lösen? Hab das auch mal mit avenger gemacht, kam folgendes. Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\mqcuqxbk ******************* Script file located at: \??\C:\WINDOWS\fkdhcjgc.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\winfp.exe not found! Deletion of file C:\WINDOWS\winfp.exe failed! Could not process line: C:\WINDOWS\winfp.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Was beduetet das? |
Das bedeutet, dass The Avenger die Datei winfp.exe nicht löschen konnte, da AntiVir das bereits erledigt hatte: Zitat:
Zitat:
|
Zitat:
|
Nun, Schädlinge wie dieser haben in der Regel ihre Techniken an Bord, um z. B. Virenscanner zu deaktivieren oder zu manipulieren, oder sich vor ihnen zu verstecken. Dass sie sich einfach "so löschen" lassen, finde ich bemerkenswert. Zitat:
|
Da bleibt mir wohl wirklich nichts anderes übrig, als mein System neu aufzusetzen. Nur in der Anleitung steht ja, man soll auf jedenfall die System-Partition löschen, besser wären aber alle. Nur habe ich auf all meinen Partiotionen nichts drauf, außer auf C. Soll ich trotzdem alle löschen? |
Zitat:
|
Danke, da bin ich ja mal entwas beruhigter, denn sowas habe ich noch nie gemacht, aber mit der Anleitung wird´s klappen :) |
Zitat:
Bislang hat es noch ein jeder mit dieser Anleitung hinbekommen. Sunny |
Hab sie mir sogar ausgedruckt, damit ich keinen Fehler mache. ;) Denn von Partitionen löschen habe ich keine Ahnung, hab nur einmal XP neu drauf gemacht, aber nie eine Partition gelöscht. |
So ich hab nach dem System neuaufsetzen mal einen neuen Logfile erstellt. Wollte fragen, ob ich da was fixen brauch, oder alles so lassen kann?! Gruß Honeybunch Logfile of HijackThis v1.99.1 Scan saved at 00:23:35, on 22.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\Programme\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\WISPTIS.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:17 Uhr. |
Copyright ©2000-2024, Trojaner-Board