|
Firewall - Windows Update - Worm - Virus? Guten Abend, nach langen und verzweifelten Versuchen das Problem in meinem PC zu finden, wende ich mich nun an Sie. Seit Tagen, bootet der PC immer langsamer und die Windows Firewall meldet bei jedem booten, dass diese deaktiviert sei und neu aktiviert werden muss. Ebenso ist das automatische Windows XP Update „ausgegraut“ und kann nicht aktiviert werden. Ich vermute mir einen Virus oder einen Worm eingefangen zu haben. Hier meine Daten und herzlichen Dank für die Hilfe! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:06:36, on 23.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Memeo\AutoBackup\MemeoService.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\FreezeScreenSaver.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\CNYHKey.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Seagate\SystemTray\StxMenuMgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Memeo\AutoBackup\MemeoBackup.exe C:\Programme\T-DSL SpeedManager\TSMSvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\mmc.exe C:\WINDOWS\system32\DfrgNtfs.exe C:\Programme\MyTheatre\MyTheatre.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\WINDOWS\system32\SearchFilterHost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programme\Analog Devices\Core\smax4pnp.exe" O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [StxTrayMenu] "C:\Programme\Seagate\SystemTray\StxMenuMgr.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe O4 - HKCU\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: AutoBackup Launcher.lnk = C:\Programme\Memeo\AutoBackup\MemeoLauncher.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} - http://dl.tvunetworks.com/TVUAx.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{67E7074F-5524-4F4B-AF6C-5CB9B0C887B2}: NameServer = 193.158.124.58 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AutoBackup (BMUService) - Memeo - C:\Programme\Memeo\AutoBackup\MemeoService.exe O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe -- End of file - 9277 bytes |
Hi, Du hast Adware auf Deinem System (mindestens, mehr sehe ich noch nicht): FreezeScreenSaver (C:\WINDOWS\system32\FreezeScreenSaver.exe) Killbox: http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: C:\WINDOWS\system32\FreezeScreenSaver.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes" PC neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat:
Anschließend einen Escan durchführen (http://www.trojaner-board.de/42731-escan-anleitung.html) Poste das Log OHNE Cookies... Chris |
Hallo Chris, vorweg erst einmal herzlichen Dank für die wertvolle Hilfe. Ich bin allen Anregungen gefolgt, nachfolgend das Ergebnis von escan. Bitte helft mir weiter. Zunächst einmal herzlichen Dank! b]Header[/b] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.9 Sprache: German C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen. System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Juecker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DPHEQIQY\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Juecker\Eigene Dateien\hijack logs\install.dat Offending file found: C:\WINDOWS\icons ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\Juecker\Eigene Dateien\Temporäe Dateien\NETCFSetupv2.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 18:08:46,59 Batchende: 18:08:50,28 |
Hi, Download: RemoveVideoActiveXObject by Smeenk (http://home.hetnet.nl/~stefsmeenk/Re...iveXObject.exe), zum Desktop & Starten Eventuell startet der Uninstaller von Roquescanner, nicht unterbrechen. Rechner neu starten und nochmals RemoveVideoActiveXObject.exe Doppelklicken Poste das Logfile C:\RVAXO-results.log Hihi, hier findet der scanner sich selber: ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Juecker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DPHEQIQY\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ (Komisch, den Fehler hatten wir gemeldet, er war weg und ist jetzt wieder drinn???) Falls RemoveActiveX die swreg.exe/swsc.exe-Sachen nicht beseitigt, mit Killbox eleminieren... Kannst Du bitte das hier online prüfen lassen: C:\WINDOWS\icons ...virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Chris |
----------------RVAXO.exe first run------------- Files found: Uninstallers Rogue scanners: Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Files found: Folders Found: --------------RVAXO.exe finished---------------- Hallo Chris, hier die RVAXO-results.log |
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DPHEQIQY\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Die Datei kann nicht gefunden werden. C:\WINDOWS\icons ...virustotal diese zwei Ordner sind unter icons vorhanden, NewSilverSystem[1] Metall_Set_Inpriat[1] lassen sich jedoch nicht von virustotal prüfen. Sorry, kann das Ergebnis nicht posten. |
Hi, hast Du die beiden Files gelöscht (swreg.exe/swsc.ex)? Wenn nein, hier ein Script für den Avenger! Avenger avenger.zip - The Avenger Input script manually (anhaken) kopiere in: View/edit script Zitat:
Dr. Web: Zusaetzlich bitte noch Cureit nutzen Anleitung: DrWeb.Cureit Aber bitte den Download von hier nutzen Dr.Web CureIt! findet und beseitigt Poste das Log! chris |
Hallo Chris, habe einen Nachtrag für dich. Hier nochmals von Virus total die Details: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DPHEQIQY\mwav[1].exe infiziert von "NULL.Corrupted" Virus. Die Datei kann nicht gefunden werden. C:\WINDOWS\icons ...virustotal diese zwei Dateien sind unter icons vorhanden, NewSilverSystem[1] - NewSilverSystem.icl (7.255.042 Bytes) Metall_Set_Inpriat[1] -Metall-Set Inspirat.icl (10.566.658 Bytes) - Bigger than max permited size - lassen sich nicht von virustotal prüfen. Sorry, kann das Ergebnis nicht posten. - Die beiden Dateien swreg.exe und swsc.exe habe ich mit Killbox erfolgreich gelöscht. Lieben Gruss Marliese07 |
Hi, ich halte das mit den Icons für einen Fehlalarm (Gehören die vielleicht zu tuneup: TuneUp Software Deutschland - Services), lass mal Dr. Web laufen... Sonst kannst Du noch versuchen die Dateien zu packen, damit sie unter der Speichergrenze liegen... Chris |
Hallo Chris, DrWeb.Cureit läuft zur Zeit. 1. Schnellcan - Null - gefunden. 2. Intersivscan nach Anleitung - Überprüfung wird soeben durchgeführt - 3. VirusTotal - die Dateien gepackt - Überprüfung wird soeben durchgeführt - Ja, die beiden Dateien Windows\icons gehören zu TuneUp Utilities 2007. Herzlichen Dank für deine Hilfe! :) Melde mich nochmals , sobald die Ergebnisse vorliegen. Lieben Gruß Marliese07 |
Lieber Chris, hier das Ergebnis: von Dr. Web..................... ============================================================================= Dr.Web(R) Scanner für Windows v4.44.0 (4.44.0.09140) Copyright (c) Igor Daniloff, 1992-2007 Bericht erstellt auf: 2007-10-26, 15:16:50 [***] Kommandozeile: "C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\setup.exe" /lng:de-cureit.dwl /ini:setup_XP.ini Betriebssystem:Windows XP Professional x86 (Build 2600), Service Pack 2 ============================================================================= DwShield gestartet Suchmodul Version: 4.44 (4.44.0.09170) API Version: 2.02 [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crwtoday.cdb - 1269 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44410.cdb - 1131 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44409.cdb - 2303 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44408.cdb - 3904 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44407.cdb - 2456 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44406.cdb - 4411 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44405.cdb - 1311 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44404.cdb - 2486 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44403.cdb - 4462 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44402.cdb - 94 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44401.cdb - 557 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crw44400.cdb - 945 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crwebase.cdb - 209466 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\cwrtoday.cdb - 146 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\cwntoday.cdb - 686 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crwrisky.cdb - 2747 Virus Einträge [Virusdatenbank] C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\crwnasty.cdb - 13534 Virus Einträge Summe der Vireneinträge: 251908 Lizenzschlüssel: C:\DOKUME~1\***\LOKALE~1\Temp\RarSFX0\setup.key Lizenzchlüssel-Nummer: 0010092936 Registriert für:: Dr.Web CureIt Project Lizenzschlüssel aktiviert!: 2007-02-05 Lizenzschlüssel wird ablaufen!: 2010-02-11 Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 915 Infizierte Objekte gefunden: 0 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 11264 Kb/s Dauer:: 00:00:30 ----------------------------------------------------------------------------- [Prüfpfad] C:\ C:\Dokumente und Einstellungen\***\Desktop\RVAXO\RVAXO3 ist ein Hacktool Tool.ShutDown.11 C:\Dokumente und Einstellungen\***\Desktop\RVAXO\RVAXO\RVAXO3 ist ein Hacktool Tool.ShutDown.11 C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack Logs\SmitfraudFix\Process.exe ist ein Hacktool Tool.Prockill C:\Dokumente und Einstellungen\***\Eigene Dateien\Hijack Logs\SmitfraudFix\restart.exe ist ein Hacktool Tool.ShutDown.11 >C:\Programme\WinRAR\Dos.SFX - Fehler beim Dekomprimieren >>C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP183\A0044480.rbf - Fehler beim Dekomprimieren C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP187\A0048185.exe ist ein Hacktool Tool.ShutDown.11 C:\System Volume Information\_restore{6F00E85E-FEA8-4BB4-813E-478B4788F22B}\RP187\A0048201.exe ist ein Hacktool Tool.ShutDown.11 C:\WINDOWS\system32\Process.exe ist ein Hacktool Tool.Prockill [Prüfpfad] J:\ [Prüfpfad] K:\ [Prüfpfad] L:\ ----------------------------------------------------------------------------- Prüfstatistiken ----------------------------------------------------------------------------- Geprüfte Objekte: 187808Infizierte Objekte gefunden: 0 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 --------------------- gelöscht - und von mir durch Spyware Doctor ersetzt - Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 7 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 930 Kb/s Dauer:: 01:11:04 ----------------------------------------------------------------------------- Die Datei ist sehr groß und müsste in viele Teile aufgeteilt werden. Deshalb hier Beginn der Prüfung und das Ergebnis. Gerne poste ich den gesamten Inhalt in Teilen. Bitte um deine Information. 7 Hacktools ? Soll ich diese bereinigen? Virus Total brachte kein Ergebnis, nach 90 Minuten Suche habe ich ersten Upload abgebrochen. Herzliche Grüße Marliese07 |
Hallo Chris, diese Information bekam ich soeben von Spyware Doctor: - Meine Sorgen werden größer - ein Trojaner ist an Bord..... 26.10.2007 13:50:51:62 Immunizer-Ergebnisse ActiveX-Abschnitt wurde immunisiert. Es wurden keine Objekte bearbeitet. 26.10.2007 14:17:33:187 Service angehalten Serviceanwendung von Spyware Doctor angehalten 26.10.2007 14:18:51:0 Service gestartet Serviceanwendung von Spyware Doctor gestartet 26.10.2007 14:18:51:203 OnGuard-Status Alle OnGuards aktiviert 26.10.2007 14:18:51:250 Immunizer-Ergebnisse ActiveX-Abschnitt wurde immunisiert. Es wurden keine Objekte bearbeitet. 26.10.2007 18:00:09:953 Scan gestartet Scan-Art - Vollständiger Scan 26.10.2007 18:00:10:46 Geplanter Task gestartet Geplanten Task initialisieren: Den Computer vollständig durchsuchen 26.10.2007 18:00:22:15 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Adware.Advertising Typ - Cookie Risiko-Stufe - Niedrig Infektion - atdmt.com/ atdmt.com 26.10.2007 18:00:22:140 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - de.sitestat.com/ de.sitestat.com 26.10.2007 18:35:46:46 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Trojan-PWS.Tanspy Typ - Registry Key Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load 26.10.2007 18:35:55:625 Scan beendet Scan-Art - Vollständiger Scan Bearbeitete Elemente - 272371 Gefundene Bedrohungen - 3 Gefundene Infektionen - 3 Übergangene Infektionen - 0 Dieser - Trojaner - macht mir große Sorgen. Herzlichen Gruß Marliese07 |
Hallo Chris, Ergebnis: Von Virus Total: Datei NewSilverSystem.icl Datei NewSilverSystem.icl empfangen 2007.10.26 22:20:51 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 43 und 62 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.27.0 2007.10.26 - AntiVir 7.6.0.30 2007.10.26 - Authentium 4.93.8 2007.10.26 - Avast 4.7.1074.0 2007.10.25 - AVG 7.5.0.503 2007.10.26 - BitDefender 7.2 2007.10.26 - CAT-QuickHeal 9.00 2007.10.26 - ClamAV 0.91.2 2007.10.26 - DrWeb 4.44.0.09170 2007.10.26 - eSafe 7.0.15.0 2007.10.22 - eTrust-Vet 31.2.5244 2007.10.26 - Ewido 4.0 2007.10.26 - FileAdvisor 1 2007.10.26 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.26 - F-Secure 6.70.13030.0 2007.10.26 - Ikarus T3.1.1.12 2007.10.26 - Kaspersky 7.0.0.125 2007.10.26 - McAfee 5150 2007.10.26 - Microsoft 1.2908 2007.10.26 - NOD32v2 2619 2007.10.26 - Norman 5.80.02 2007.10.26 - Panda 9.0.0.4 2007.10.26 - Prevx1 V2 2007.10.26 - Rising 19.46.42.00 2007.10.26 - Sophos 4.22.0 2007.10.26 - Sunbelt 2.2.907.0 2007.10.26 - Symantec 10 2007.10.26 - TheHacker 6.2.9.107 2007.10.25 - VBA32 3.12.2.4 2007.10.26 - VirusBuster 4.3.26:9 2007.10.26 - Webwasher-Gateway 6.6.1 2007.10.26 - weitere Informationen File size: 7255042 bytes MD5: 930393936fae4456dfa6a27d910bda59 SHA1: e1b767c80e26b035e14ec48644f70537b69dd2e4 Du hattest recht, kein Virus gefunden. Herzlichen Gruß Marliese07 |
Hallo Chris, hier mein letzter Scan von VirusTotal: Datei Windows\icons Metall-Set_Inspirat.rar empfangen 2007.10.26 23:44:36 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 6. Geschätzte Startzeit is zwischen 61 und 87 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.27.0 2007.10.26 - AntiVir 7.6.0.30 2007.10.26 - Authentium 4.93.8 2007.10.26 - Avast 4.7.1074.0 2007.10.26 - AVG 7.5.0.503 2007.10.26 - BitDefender 7.2 2007.10.26 - CAT-QuickHeal 9.00 2007.10.26 - ClamAV 0.91.2 2007.10.26 - DrWeb 4.44.0.09170 2007.10.26 - eSafe 7.0.15.0 2007.10.22 - eTrust-Vet 31.2.5244 2007.10.26 - Ewido 4.0 2007.10.26 - FileAdvisor 1 2007.10.26 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.26 - F-Secure 6.70.13030.0 2007.10.26 - Ikarus T3.1.1.12 2007.10.26 - Kaspersky 7.0.0.125 2007.10.26 - McAfee 5150 2007.10.26 - Microsoft 1.2908 2007.10.26 - NOD32v2 2619 2007.10.26 - Norman 5.80.02 2007.10.26 - Panda 9.0.0.4 2007.10.26 - Prevx1 V2 2007.10.27 - Rising 19.46.42.00 2007.10.26 - Sophos 4.22.0 2007.10.26 - Sunbelt 2.2.907.0 2007.10.26 - Symantec 10 2007.10.26 - TheHacker 6.2.9.107 2007.10.25 - VBA32 3.12.2.4 2007.10.26 - VirusBuster 4.3.26:9 2007.10.26 - Webwasher-Gateway 6.6.1 2007.10.26 - weitere Informationen File size: 1989550 bytes MD5: 9f6382d09a40bf57f3e0a9dcde83ffa5 SHA1: 65fcdb31f59644458c0124e553d0a48c5d7379b4 Kein Virus gefunden, deine Vermutung wurde bestätigt. Herzlichen Gruß Marliese07 |
Hi, schauen wir noch mal nach (wegen : Name der Bedrohung - Trojan-PWS.Tanspy Typ - Registry Key Risiko-Stufe - Hoch Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control Panel\load -> der hätte eigentlich im HJ-Log als BHO (BrowserHelperObject) auftauchen müssen... -> neues HJ-Log bitte, nenne vor dem Start die HJ-EXE auf test.com um, neue Version hier:HijackThis - bebilderte Anleitung ) Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Gegenprobe: scanne mit ewido und poste den scanreport Ewido Micro: http://downloads.ewido.net/ewido_micro.exe Poste beide Logs... chris |
Code: Logfile of Trend Micro HijackThis v2.0.2Herzlichen Gruß Marliese07 |
Code: Silent Runners.vbs", revision 52, http://www.silentrunners.org/Herzlichen Gruß Marliese07 |
Hi, riecht schwer nach Fehlarlarm... Ich finde nichts, da wo was sein sollte... (Oder es ist was brandneues... was ich nicht glaube, wenn es sonst keine Beeinträchtigungen gibt...). Wartet den Scan von Ewido ab, und stelle Antivir wie folgt ein: Antivir und die Heuristik, die aggressive Variante - Virus Hilfe Führe einen Systemscan durch und poste das Ergebnis! Chris Ps.: Wie gut bist Du mit Regedit? Kannst Du zu diesem Ominösen Key mal navigieren und dann den Zweig exportieren (Mit der Maus rechtsklick auf den Key in der linken Seite, Exportieren, Name eingeben, speichern und dann posten)? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Control Panel\load |
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\don't load] "speech.cpl"="" "infocardcpl.cpl"="" Hallo Chris, der Schlüssel heißt bei mir don't load. Load ist nicht vorhanden. Ewido ist noch am scannen. Herzlichen Gruß Marliese07 |
Hi, der ist OK.... Seltsam.... Chris |
Hallo Chris, ewido ist fertig. Scan finished 0 infections found. Nun werde ich den deepscan mit Antivir durchführen. Herzlichen Gruß Marliese07 |
Hallo Chris, Antivir ist schwer am schimpfen, habe die Meldungen in die Quarantäne verschoben, ist das OK?: confused: Herzlichen Gruß Marliese07 |
Hi, ja, unbedingt NICHT löschen lassen, da mit diesen Einstellungen mit der Heuristik gearbeitet wird, und die erkennt des öfteren etwas, was eigentlich zu einem Programm gehört (false/Positiv); Zum Beispielt wird Sandboxie als Trojaner erkannt... oder auch Windowsblind.... Ich habe Antivir nicht auf der Heuristikstufe "hoch" laufen, sondern auf "mittel", da ist dann ganz gut... Aber wir wollen ja noch mal alles prüfen, daher auf hoch stehen lassen... Poste dann das Log.... Chris |
Code: Herzlichen Gruß Marliese07 |
Hi, ist OK; Das meiste kommt aus der Quarantäne von Dr. Web, unsere Tools (HJ, Combofix) und einiges aus der Systemwiederherstellung, und die müssen wir jetzt bereinigen: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen So, danach noch die Backups der Tools löschen: Backups von Avenger&Co (falls vorhanden) löschen: C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren Das sollte es dann gewesen sein... Chris |
Hallo Chris, habe alle Aufgaben erledigt. Eine letzte Frage. Ich besitze mehrere externe Festplatten, diese hatte ich in den letzten Tagen nicht angeschlossen. Auf den Platten sind Datensicherungen drauf, wie kann ich nun die Platten wieder benutzen, ohne das ich mir von dort wieder etwas einfange? Gerne würde ich nochmals um deinen Rat bitten. Herzlichen Dank! Marliese07 |
Hallo, wenn auf den externen Festplatten keine Programme drauf waren, sollte eigentlich nichts passieren, kritisch ist hierbei nur die "Autostart-Funktion" von Windows, die es gilt zu unterbinden... Dabei gibt es mehrer Möglichkeiten, hier die einfachste: Tweakui: http://www.zdnet.de/downloads/prg/b/3/de0EB3-wc.html Download und installieren, aufrufen: MyComputer->AutoPlay->Types (alles raus (Autoply for CD and DVD/Removeable Drives)). Sicherheitshalber kannst Du unter Drives alle Removeable Laufwerke rausnehmen. Dann Apply bzw. OK. Kannst dann mal testen, neuboot sollte nicht benötigt werden... Chris |
Hallo Chris, nochmals herzlichen Dank für die tolle Anregung. Ja, es sind Programme auf den Festplatten, habe sogar ein Auto-Backup auf einer Platte. *** Meinen besonderen Dank möchte ich diesem Board widmen. Schön, dass es euch gibt! ***Inbesondere dir Chris, danke ich für deine wertvolle Zeit, die ich in den letzten Tagen in Anspruch nehmen durfte. Ebenso danke ich dir sehr für die kompetente Hilfe und den Erfolg, meinen PC von der Malware zu befreien! Herzliche Grüße an alle Board-Betreuer! Ihre Marliese07 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board