Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   1. schon wieder mehrere viren, 2. mailserver auf einer blacklist?? (https://www.trojaner-board.de/47706-1-schon-mehrere-viren-2-mailserver-blacklist.html)

jvc 03.01.2008 20:29
1. schon wieder mehrere viren, 2. mailserver auf einer blacklist??
 
hallo ihr lieben helfer,

ich war erst vor kurzem hier wegen mehrerer viren, heute hat mir mein virenprogramm (alvira) schon wieder mehrere davon gemeldet (ich hab windows xp, alvira und zone-alarm, außerdem verwend ich seit gestern firefox und thunderbird).

hier der bericht vom virenprogramm, er hat 6 viren und einige bedrohungen gefunden:

Code:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 03. Jänner 2008  15:19

Es wird nach 999037 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Benutzername:    SYSTEM
Computername:    geändert

Versionsinformationen:
BUILD.DAT    : 270          15603 Bytes  19.09.2007 13:29:00
AVSCAN.EXE  : 7.0.6.1      290856 Bytes  23.08.2007 13:16:24
AVSCAN.DLL  : 7.0.6.0      57384 Bytes  14.08.2007 15:48:28
LUKE.DLL    : 7.0.5.3      147496 Bytes  14.08.2007 15:32:43
LUKERES.DLL  : 7.0.6.0      10792 Bytes  14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14.12.2007 18:03:45
ANTIVIR2.VDF : 7.0.1.170    311296 Bytes  28.12.2007 16:12:33
ANTIVIR3.VDF : 7.0.1.186    71168 Bytes  02.01.2008 17:14:01
AVEWIN32.DLL : 7.6.0.46    3084800 Bytes  19.12.2007 18:04:13
AVWINLL.DLL  : 1.0.0.7      14376 Bytes  26.02.2007 10:36:23
AVPREF.DLL  : 7.0.2.2      25640 Bytes  18.07.2007 07:16:50
AVREP.DLL    : 7.0.0.1      155688 Bytes  16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.2      360488 Bytes  19.12.2007 18:04:13
AVREG.DLL    : 7.0.1.6      30760 Bytes  18.07.2007 07:17:02
AVARKT.DLL  : 1.0.0.20    278568 Bytes  28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18.07.2007 07:10:14
NETNT.DLL    : 7.0.0.0        7720 Bytes  08.03.2007 11:09:03
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07.08.2007 12:37:51
RCTEXT.DLL  : 7.0.62.0      90152 Bytes  21.08.2007 12:50:28
SQLITE3.DLL  : 3.3.17.1    339968 Bytes  23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: I:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 03. Jänner 2008  15:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ad-Aware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'converter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvMixerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Disk_Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]  Es wurde kein Virus gefunden!
Bootsektor 'I:\'
      [HINWEIS]  Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '29' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Chiligreen\Desktop\Utilities\avenger.zip
  [0] Archivtyp: ZIP
  --> avenger.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Avenger-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1f0f8.qua' verschoben!
C:\Dokumente und Einstellungen\Chiligreen\Desktop\Utilities\avenger\avenger.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Avenger-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1f10b.qua' verschoben!
C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP18\A0001278.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Avenger-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ad0a58.qua' verschoben!
Beginne mit der Suche in 'I:\' <LaCie>
I:\LwC\Dokumente und Einstellungen\Chiligreen\Desktop\Utilities\avenger.zip
  [0] Archivtyp: ZIP
  --> avenger.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Avenger-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e20f29.qua' verschoben!
I:\LwC\Dokumente und Einstellungen\Chiligreen\Desktop\Utilities\avenger\avenger.exe.gz
  [0] Archivtyp: GZ
  --> avenger.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Avenger-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e20f2d.qua' verschoben!
I:\LwC\Dokumente und Einstellungen\Chiligreen\Desktop\Utilities\avenger\avenger.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Avenger-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e20f30.qua' verschoben!
I:\LwC\Spiele\SkiChallenge2005Kitzbuehel_Version12a.exe
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\ufo-joe.exe
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\CEGUIBase.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\CEGUIFalagardWRBase.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\CEGUISILLYImageCodec.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\CEGUIXercesParser.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\jpeg.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\libpng12.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\ogg.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\OpenGLGUIRenderer.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\SDL.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\SDL_image.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\SDL_mixer.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\SDL_ttf.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\Secret Maryo Chronicles.exe
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\SILLY.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\stlport.5.0.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\uninstall.exe
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\vorbis.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\vorbisfile.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\xerces-c_2_7.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\zlib1.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\Microsoft.VC80.CRT\msvcm80.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\Microsoft.VC80.CRT\msvcp80.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!
I:\LwC\Spiele\Secret Maryo Chronicles\Microsoft.VC80.CRT\msvcr80.dll
      [WARNUNG]  Die Datei konnte nicht gelesen werden!


Ende des Suchlaufs: Donnerstag, 03. Jänner 2008  19:49
Benötigte Zeit:  4:29:17 min

Der Suchlauf wurde vollständig durchgeführt.

  11600 Verzeichnisse wurden überprüft
 1767279 Dateien wurden geprüft
      6 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      6 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
    27 Dateien konnten nicht durchsucht werden
 1767273 Dateien ohne Befall
  55154 Archive wurden durchsucht
    27 Warnungen
    34 Hinweise
könnt ihr mir bitte weiterhelfen?? ich weiß einfach nicht mehr, was ich machen soll... plötzlich hab ich ständig viren... wie fang ich mir die bloß immer ein??? :confused: :confused:


außerdem ist mir heute etwas sehr merkwürdiges passiert. ich bin gestern auf thunderbird umgestiegen und wollte heute innerhalb meiner email-adressen ein paar testmails verschicken. plötzlich kam folgende meldung:
Code:
The following addresses had permanent fatal errors -----
<meine email-adresse>
    (reason: 591 email-adresse your host [hier stand eine IP-Nummer (glaub ich), hab's zur sicherheit gelöscht, falls es meine eigene ist] is blacklisted by sbl-xbl.spamhaus.org. Send your questions to blacklist-admin@mailfe16.swip.net)

554 5.0.0 Service unavailable
<<< 554 no valid RCPT address specified
ich hab mir diese seite angesehen, man kann sich entsperren lassen, indem man seine IP-adresse angibt... ist das normal, ich meine soll ich das machen? irgendwie kam mir das ganze komisch vor...

ein paar stunden später gingen meine email-adressen wieder ganz normal, nur eine funktioniert immer noch nicht und es kommt folgende meldung:
Code:
The following addresses had permanent fatal errors -----
<email-adresse>
    (reason: 553 sorry, your mailserver [wieder diese IP-nr wie oben] is rejected by email.aon.at based on http://cbl.abuseat.org or http://www.njabl.org)

  ----- Transcript of session follows -----
... while talking to email.aon.at.:
>>> MAIL From:<xxx> SIZE=938
<<< 553 sorry, your mailserver [IP-nr] is rejected by email.provider.länderkürzel based on http://cbl.abuseat.org or http://www.njabl.org
501 5.6.0 Data format error
was soll ich denn jetzt damit bloß machen?? :eek: :confused:

ich blick hier echt nicht mehr durch... könnt ihr mir bitte weiterhelfen????

vielen dank!!!!!
lg

jvc 04.01.2008 13:47
hallo,

noch ein PS zu gestern: die email-adressen funktionieren heute wieder...

könnte mir bitte jemand wegen der viren helfen? (siehe 1. posting - das virenprogramm hat die dinger erstmal in quarantäne verschoben, falls das wichtig ist)

ich füge hier schon mal das hijack-log an:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:44:03, on 04.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Musikprogramme\AudioConverter Studio\converter.exe
C:\Programme\Musikprogramme\BearShare\BearShare.exe
C:\Dokumente und Einstellungen\Chiligreen\Desktop\abc123.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Persbackup.lnk = I:\Personal Backup 4\Persbackup.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52965E-04C8-4316-85FD-DEFCBA09CAE7}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9011 bytes

wär echt super, wenn ihr mir weiterhelfen könntet!!! vielen dank im voraus!!
lg

BataAlexander 04.01.2008 14:04
Dein HJT ist in Ordnung, Avira hat Avenger gelöscht, warum war das auf dem Rechner?
Dieses Tool stellt keine Bedrohung da, verhält sich aber wohl ähnlich wie Schadsoftware.
Damit Dein Rechner aber sauber bleibt solltest Du dies hier

C:\Programme\Musikprogramme\BearShare\BearShare.exe

Deinstallieren.

jvc 04.01.2008 14:15
hallo,

vielen dank für deine antwort!!!!

avenger ist auf meinem pc weil ich vor kurzer zeit schon mal viren hatte - da hab ich mich auch an dieses forum gewandt und ich glaube avenger war eines der programme, die damals benötigt wurden...

meinst du wirklich, dass avira das gelöscht hat? avira hat mich während des virenchecks gefragt, was er machen soll und ich hab gesagt in quarantäne verschieben (1. weil das vorgeschlagen war, 2. weil ich keine ahnung habe, ob ich das einfach so löschen kann)??

wenn mein system sauber ist, warum bekomme ich dann von avira bei jedem virenscan meldungen, dass ich schon wieder irgendwelche viren habe?? hab ich was falsch eingestellt oder so?? :confused:

dickes dankeschön für deine hilfe!!!!!!!!
lg

BataAlexander 04.01.2008 14:28
Erstmal ist Avenger wie gesagt nicht schlimmes.
Eine Av Hersteller sehen das aber wohl anders. ;)

In dem von Dir geposteten Log findet sich kein Hinweis auf einen Befall.
Du kannst Avira aber mal so einstelle wie hier beschrieben und natürlich vor dem Scan die Signaturen Updaten!
Wenn es etwas findet, ist die Quarantäne erstmal ein guter Weg, Falls etwas fälschlich gelöscht wurde bekommt man es so schnell zurück.

Wenn neue Meldungen kommen, poste diese bitte hier.

jvc 04.01.2008 21:38
hallo,

dankeschön!!!!

ich hab avira jetzt so eingestellt, wie auf deinem link angegeben. anschließend hab ich nochmal einen virenscan gemacht. er hat wieder viren gefunden und außerdem angeblich auch noch phishing-mails (vielleicht hat das ja was mit den merkwürdigen meldungen bezüglich meiner emails von gestern zu tun??) - er hat mir allerdings nicht angegeben, welche mails das sein sollten und ich weiß auch nicht, wie ich da nachsehen kann...

hier der bericht von avira:
Code:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 04. Jänner 2008  15:01

Es wird nach 1000636 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Benutzername:    ***
Computername:    ***

Versionsinformationen:
BUILD.DAT    : 270          15603 Bytes  19.09.2007 13:29:00
AVSCAN.EXE  : 7.0.6.1      290856 Bytes  23.08.2007 13:16:24
AVSCAN.DLL  : 7.0.6.0      57384 Bytes  14.08.2007 15:48:28
LUKE.DLL    : 7.0.5.3      147496 Bytes  14.08.2007 15:32:43
LUKERES.DLL  : 7.0.6.0      10792 Bytes  14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14.12.2007 18:03:45
ANTIVIR2.VDF : 7.0.1.170    311296 Bytes  28.12.2007 16:12:33
ANTIVIR3.VDF : 7.0.1.193    91136 Bytes  04.01.2008 13:59:54
AVEWIN32.DLL : 7.6.0.46    3084800 Bytes  19.12.2007 18:04:13
AVWINLL.DLL  : 1.0.0.7      14376 Bytes  26.02.2007 10:36:23
AVPREF.DLL  : 7.0.2.2      25640 Bytes  18.07.2007 07:16:50
AVREP.DLL    : 7.0.0.1      155688 Bytes  16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.2      360488 Bytes  19.12.2007 18:04:13
AVREG.DLL    : 7.0.1.6      30760 Bytes  18.07.2007 07:17:02
AVARKT.DLL  : 1.0.0.20    278568 Bytes  28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18.07.2007 07:10:14
NETNT.DLL    : 7.0.0.0        7720 Bytes  08.03.2007 11:09:03
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07.08.2007 12:37:51
RCTEXT.DLL  : 7.0.62.0      90152 Bytes  21.08.2007 12:50:28
SQLITE3.DLL  : 3.3.17.1    339968 Bytes  23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: I:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 04. Jänner 2008  15:01

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'converter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvMixerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Disk_Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]  Es wurde kein Virus gefunden!
Bootsektor 'I:\'
      [HINWEIS]  Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '29' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Chiligreen\Anwendungsdaten\Thunderbird\Profiles\ly15dxqz.default\Mail\Local Folders\Inbox
  [0] Archivtyp: Netscape/Mozilla Mailbox
  --> Mailbox_[From: Citizens bank <supprefnum416041180015553@citize][Subject: Update your account records [Mon, 06 Dec 2004 2]6164.mim
      [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkfrau.BD
      [1] Archivtyp: MIME
      --> file0.html
          [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkfrau.BD
      [WARNUNG]  Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Chiligreen\Anwendungsdaten\Thunderbird\Profiles\ly15dxqz.default\Mail\Local Folders\Trash.sbd\Outlook Express Nachricht.sbd\Posteingang
  [0] Archivtyp: Netscape/Mozilla Mailbox
  --> Mailbox_[From: Citizens bank <supprefnum416041180015553@citize][Subject: Update your account records [Mon, 06 Dec 2004 2]2886.mim
      [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkfrau.BD
      [1] Archivtyp: MIME
      --> file0.html
          [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkfrau.BD
      [WARNUNG]  Die Datei wurde ignoriert.
Beginne mit der Suche in 'I:\' <LaCie>
I:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP18\A0001304.exe
      [FUND]      Enthält Erkennungsmuster des SPR/Avenger-Programmes
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ae60a3.qua' verschoben!


Ende des Suchlaufs: Freitag, 04. Jänner 2008  21:09
Benötigte Zeit:  6:08:27 min

Der Suchlauf wurde vollständig durchgeführt.

  13175 Verzeichnisse wurden überprüft
 2051187 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 2051182 Dateien ohne Befall
  92311 Archive wurden durchsucht
      4 Warnungen
    54 Hinweise
was soll ich denn jetzt machen? sind das jetzt "echte" viren und echte phishing-mails oder fehlalarme??
gibt es in zukunft für mich als laie irgendeine möglichkeit das zu unterscheiden oder muss ich da immer euch damit belästigen? ;-)

vielen dank!!!!!
lg

BataAlexander 05.01.2008 04:54
Lösche nun manuell in Thunderbird die angemerkerten eMails!

Ansonsten ist in dem Log nichts mehr besonders zu sehen.

jvc 05.01.2008 10:52
hallo,

ich hab das jetzt gelöscht - es gab zwar nur ein mail (nicht 2, wie angegeben), das war auch einen tag später datiert, aber ich hoffe, dass das jetzt ok ist...?

ganz, ganz dickes dankeschön für deine hilfe!!!!!! :daumenhoc :aplaus: :aplaus: :aplaus:
das war wirklich sehr nett von dir!!

so, ich hoffe, ich muss das forum jetzt lange nicht mehr aufsuchen ;-)

danke!!!!!!!!!!!!!!!!!!!
lg


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19