TR/Dropper.Gen (Endlich hab ich auch einen)
 

Heyho!

Hab 'n kleines Problemchen mit 'nem Trojaner Namens "TR/Dropper.Gen" (der scheint ja recht beliebt zu sein *g* )

Wie auch immer. Ich hoffe das ich mit den ganzen Infos, die Ihr braucht alles richtich mache. Fals doch noch was fehlt, einfach bescheid-fragen!
Und nur so zur Info: Ich bin auf dem Gebiet ein absoltuer Grünschschnabel, also bitte nich all zu genervt sein wenn ich öffters mal nachfrage!

Zum Problem:
Ich bekomme seid gestern abend des öffteren mal die Nachricht von Antivir das sich auf meine System oben gennanter Trojaner befindet.
Wie bei den meisten anderen hier, bringt weder die "Quarantäne" noch das "Löschen" irgendwas. Auch das manuelle Löschen bringt nüscht!

Also hab ich mal mit dem von euch empfohlenen Crap Cleaner meinem Rechner einer überprüfung (wie im Tutorial erklärt) unterzogen. Soweit is alles klar. Jedoch steht da das man bei dem Schritt mit der prüfung unter "Registry" so lange den Vorgang wiederholen soll, bis keine Fehler mehr gefunden werden. Hat soweit geklapt, nur das seid einigen durchläufen immer wieder dieser eine Fehler aufgührt wird. welcher offenbar nicht behoben werden kann.
Das sieht folgendermaßen aus:

"Fehler":
Fehlender TypeLib Verweis

"Daten":
IWinPwSvc - {BD726167-A7B6-48d7-165855EDF956}

und unter "Registry Schlüssel" steht:
HKCR\Interface\{C0282E26-E060-44c9-B0FF-1AC71180D653}

Ich mach einfach mal weiter mit dem nächsten schritt. Dem "Malwarebytes-Anti-Malware"-Ding:




HijackThis hat folgendes ausgespuckt:



Und zu guter letzt noch meine Installierten Programme und so...
...so, viel Spass damit, Jungs und Mädels!
(Meine aufrichtige hochachtung, vor all denen, die da irgendwas rauslesen können!!!)

hmmm... hoffe ich hab soweit alles richtich gemacht. Falls wie gesagt irgendwas fehlt, einfach bescheid melden.
Ich bedanke mich schonmal soweit....

bis...
Kore

PS: Evtl. übriggeblibene Rechtschreibfehler bitte ich nachsichtigst zu berlesen!

Hallo und :hallo:


Fixe:

Danach scanne mit SUPERAntiSpyware (In meiner Signatur ist Download + Anleitung) und Malwarebytes nochmal. Sende uns dann die logs. :)

DJ-D ich übernehme den Fall.

Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

sorry wenn das jetzt unhöflich klingt aber sind wir nicht hier im forum
es ist doch immer besser wenn zwei köpfe denkten (DJ-D und Angel21)

sorry wenn dies aufdringlich klingt ;)

mfg RushHour777

Okay, kein Problem...

die Frage is nur an wenn ich mich jetzt halten soll!

"Wer zuerst kommt malt zuerst!" oder lieber der Nachzügler!? Oder vieleicht beide!?


Entscheide ich mich mal vorerst mal für Dj-D! Oder wie oder was!?

@Koresh
Halte dich an Angel21.

@DJ-D
@RushHour777
Schaut doch beide mal hier vorbei: http://www.trojaner-board.de/69603-f...dem-forum.html

ciao, andreas

@john doe


kannst du mir bitte einmal ferraten was das mit dem thema aufsich hat
:koch::koch::koch::koch::koch:



(
)

@Koresh fahren wir fort :)

Also wie gesagt Navilog durchlaufen lassen und bitte das Log hier posten :)

:headbang:

könnt ihr euch nich ma entscheiden, wer mir jetzt helfen will soll/will/möchte/darf!

Ihr verwirrt mich! - Wirklich... :confused:


Also gut machen wir zwei Hübschen weiter! :)

Ich meld mich wieder wenn ich soweit bin...

Ja machen wir zwei hübschen weiter :)

Nope, dein Navilog1 tut nich...

Nachdem ich die Sprache auswähle bricht's ab mit der Nachricht:
"GetPaths.exe funktioniert nich mehr"

Vorschläge!?

Im Administratormodus bitte durchführen.

Tja tut mir leid, das du mir jetzt auch noch die Grundlagen beibringen musst...

Ich dachte der Läuft standartmäßig, da ich der einzigste Nutzer an diesem Rechner bin...

Wo/Wie aktiviere ich den Admin-Mode!?

*Sorry*

Mach mal einen Rechtsklick auf Navilog und mache "als administrator ausführen".


Geht es?

*grumel* das muss eim erstma gesagt sein!


Jap! Okay ich bleib doch noch ein weilchen!

:D

Also versuchen wir es weiter :)

Sag mir ob es geht.

Jap, bitschee:

Das ist leider nicht das komplette Log, poste es mal ohne den Code Tag

Ups, sorry! hab nich ufgebast! :D

(geht natlos weiter):

Ahhhh dankeschön :)

Nun folgendes, das selbe nur mit der Option 2 durchlaufen lassen.

re und hab dir auch gleich was mitgebracht! ;-)

Diesmal ohne "code" - hab ebe erst gerafft was du meintest! *g




Navipromo Removal version 3.7.6 started on 19.04.2009 at 22:22:02,89

Fix running from C:\Program Files\navilog1

Updated on 14.03.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4000+ )
BIOS : BIOS Date: 09/06/07 09:32:06 Ver: 08.00.12
USER : xxx ( Administrator )
BOOT : Normal boot

Antivirus : Norton Internet Security 2007 (Not Activated)
Firewall : Norton Internet Security 2007 (Not Activated)

C:\ (Local Disk) - NTFS - Total:143 Go (Free:22 Go)
D:\ (Local Disk) - NTFS - Total:5 Go (Free:1 Go)
E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
F:\ (USB)
G:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
H:\ (USB)
I:\ (USB)
J:\ (USB)
K:\ (USB)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\Windows\System32" *


* Deletion in "C:\Users\xxx\AppData\Local\Microsoft" *


* Deletion in "C:\Users\xxx\AppData\Local\virtualstore\windows\system32" *


* Deletion in "C:\Users\xxx\AppData\Local" *



*** Deleting folders in "C:\Windows" ***


*** Deleting folders in "C:\Program Files" ***


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\WebMediaPlayer ...deleting...
...\WebMediaPlayer deleted !


*** Deleting folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Deleting folders in "C:\ProgramData" ***


*** Deleting folders in c:\users\xxx\appdata\roaming\micros~1\windows\startm~1\programs ***


*** Deleting folders in "C:\Users\xxx\AppData\Local\virtualstore\Program Files" ***


*** Deleting folders in "C:\Users\xxx\AppData\Local" ***


*** Deleting folders in "C:\Users\xxx\AppData\Roaming" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\Windows\Temp done !
Cleaning of C:\Users\xxx\AppData\Local\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\Windows\system32" *



* In "C:\Users\xxx\AppData\Local\Microsoft" *



* In "C:\Users\xxx\AppData\Local\virtualstore\windows\system32" *



* In "C:\Users\xxx\AppData\Local" *


iayeuqw.dat found !
Copy iayeuqw.dat done !
iayeuqw.dat deleted !

iayeuqw_navps.dat found !
Copy iayeuqw_navps.dat done !
iayeuqw_navps.dat deleted !


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate not found !
Montorgueil Certificate not found !
OOO-Favorit Certificate not found !
Sunny-Day-Design-Ltd Certificate not found !


*** Search others known folders and files ***



*** Cleaning stage complete on 19.04.2009 at 22:29:32,00 ***

Okay, den haben wir los :)

Lass mal Superantispyware laufen und poste mir das Log hier rein.

Hat sich erledigt! :)
Hier issa:




SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 04/19/2009 at 11:04 PM

Application Version : 4.26.1000

Core Rules Database Version : 3852
Trace Rules Database Version: 1805

Scan type : Quick Scan
Total Scan Time : 00:25:30

Memory items scanned : 829
Memory threats detected : 1
Registry items scanned : 496
Registry threats detected : 0
File items scanned : 19117
File threats detected : 2

Trojan.Dropper/Multi-MBAD
C:\WINDOWS\VPRO500.EXE
C:\WINDOWS\VPRO500.EXE
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VPRO500.LNK

Nein, nein, bitte einen Fullscan.

Nochmal laufen lassen, diesmal Kompletter Scan in der Mitte zu finden einstellen :)

Ja ja... du weisst ja wie das ist. Kaum will man sich ablegen, is ma hell wach! :D
Ich war doch noch etwas producktiv!


*****************


SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 04/20/2009 at 00:15 AM

Application Version : 4.26.1000

Core Rules Database Version : 3852
Trace Rules Database Version: 1805

Scan type : Complete Scan
Total Scan Time : 00:33:05

Memory items scanned : 860
Memory threats detected : 1
Registry items scanned : 7519
Registry threats detected : 0
File items scanned : 23891
File threats detected : 7

Trojan.Dropper/Multi-MBAD
C:\WINDOWS\VPRO500.EXE
C:\WINDOWS\VPRO500.EXE
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VPRO500.LNK

Adware.Tracking Cookie
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@atwola[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@adserver.71i[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\Low\xxx@doubleclick[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\Low\xxx@doubleclick[1].txt

Adware.Vundo/Variant-MSFake
C:\PROGRAM FILES\NAVILOG1\REG.EXE



SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 04/20/2009 at 00:15 AM

Application Version : 4.26.1000

Core Rules Database Version : 3852
Trace Rules Database Version: 1805

Scan type : Complete Scan
Total Scan Time : 00:33:05

Memory items scanned : 860
Memory threats detected : 1
Registry items scanned : 7519
Registry threats detected : 0
File items scanned : 23891
File threats detected : 7

Trojan.Dropper/Multi-MBAD
C:\WINDOWS\VPRO500.EXE
C:\WINDOWS\VPRO500.EXE
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VPRO500.LNK

Adware.Tracking Cookie
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@atwola[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\xxx@adserver.71i[1].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\Low\xxx@doubleclick[2].txt
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Cookies\Low\xxx@doubleclick[1].txt

Adware.Vundo/Variant-MSFake
C:\PROGRAM FILES\NAVILOG1\REG.EXE

also nachdem ich das Gestern noch das mit dem "SUPERAntiSpyware"-Scan gemacht hab, hab ich ausversehen auf "gefährdete Elemente entfernen" (oder so) geklikt.
Tut mir leid!
Heut morgen hab ich dann nochmal den "Malwarebytes' Anti-Malware" durchlaufen lassen. Dieser sagt das er keine Problem dateien oder so gefunden hat.


Hier der Log:



Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2009
Windows 6.0.6001 Service Pack 1

20.04.2009 12:44:48
mbam-log-2009-04-20 (12-44-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 185613
Laufzeit: 1 hour(s), 51 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Das ist okay, mit dem Entfernen der Elemente, so solls ja auch sein ;)

Mache nochmal einen Scan mit deinem normalen Virenscanner und poste das Logfile hier rein.

warum findet superantispyware diesen eintrag als böse es ist doch navilog

RushHour777

Superantispyware erkennt es als Infizierung, dabei ist es ein Reinigungsprogramm.
Da haben wohl die Jungs von SASW ihre Arbeit nicht richtig erledigt.

HeyHey und guten Abend!

Hier der gewünschte Avira Log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 20. April 2009 21:58

Es wird nach 1356201 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: (die hab ich mal rausgenommen, da ich mir nich sicher
bin ob das meine eigene war)
Plattform: Windows Vista
Windowsversion: (Service Pack 1) [6.0.6001]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: xxx-PC

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 29.11.2008 11:59:39
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 22:34:03
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:17:50
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 22:56:28
ANTIVIR3.VDF : 7.1.3.73 25088 Bytes 18.04.2009 22:56:29
Engineversion : 8.2.0.148
AEVDF.DLL : 8.1.1.0 106868 Bytes 11.02.2009 19:16:17
AESCRIPT.DLL : 8.1.1.75 373113 Bytes 15.04.2009 18:15:46
AESCN.DLL : 8.1.1.10 127348 Bytes 08.04.2009 18:16:11
AERDL.DLL : 8.1.1.3 438645 Bytes 15.11.2008 22:34:38
AEPACK.DLL : 8.1.3.14 397685 Bytes 18.04.2009 22:56:44
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 01.03.2009 19:15:56
AEHEUR.DLL : 8.1.0.119 1724791 Bytes 18.04.2009 22:56:41
AEHELP.DLL : 8.1.2.2 119158 Bytes 01.03.2009 19:15:40
AEGEN.DLL : 8.1.1.36 340341 Bytes 18.04.2009 22:56:33
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 15.04.2009 18:15:30
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.3 155905 Bytes 18.04.2009 22:56:30
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 20. April 2009 21:58

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mfpmp.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WkCalRem.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'd0c951be-8a22-4a26-bf6c-32ade12d5f6a.ex' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTGU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DataCardMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Monitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppSvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '67' Prozesse mit '67' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '50' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VISTA>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <!!! NICHT LOESCHEN !!!>


Ende des Suchlaufs: Montag, 20. April 2009 23:13
Benötigte Zeit: 1:14:59 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

16878 Verzeichnisse wurden überprüft
510431 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
510428 Dateien ohne Befall
4396 Archive wurden durchsucht
8 Warnungen
0 Hinweise

Sollte ich das ganze nochmal durchführen und den hier beherziegen: "Bitte starten Sie den Suchlauf erneut mit Administratorrechten"!?

Fixe folgendes: R3 - URLSearchHook: (no name) - - (no file)

Do a System scan only - Haken reinsetzen - Fix checked.

Deinstalliere:
Superantispyware
Adobe Reader 8.1.4 - Deutsch
(Bessere Alternative zu diesem wäre Foxit Reader)


Hinweis: Norton und Avira bremsen sich gegenseitig in ihrer Arbeit aus und behindern sich. Suche dir lieber nur ein Antivirenprogramm aus.

Deaktivieren der Systemwiederherstellung in Vista: Klicke mit der rechten Maustaste auf den Desktop
gehe auf "Eigenschaften" in dem Drop Down menü.
Wähle Computerschutz an.
Entferne das Häkchen vor dem Datenträger.
Es erscheint eine Warnmeldung, indem Du auf Systemwiederherstellung ausschalten klickst.
Reboot machen.
Danach die Systemwiederherstellung genau auf diesem Wege wieder Aktivieren.

Wegen dem Norton vs. Avira
Die Sache ist folgende: In letzter Zeit hab ich einige Probleme mit Hackern. Zumindest zeigt Norton mir gelegentlich an, das mal wieder ein Angriff, von der und der IP, geblockt wurde.
Was denn Viren Schutz angeht bin ich jedoch immer ganz gut mit AntiVir gefahren.
Ich hab einfach schiss das die Angriffe erfolgreicher sind wenn ich auf Norton verzichte!

Wie ist der Schutz in der Beziehung bei Avira!? Oder anders gefragt welches kannst du mir empfehlen!?

bis...
Koresh

Was genau zeigt Norton denn an?
Poste mal bitte ein Log von Norton, indem ein Angriff verzeichnet wurde.

Poste mir das alles rein, was ich brauche, ich gehe jetzt ins bett, bin Morgen gegen Mittag da und betrachte mir das alles mal in Ruhe :)

Geht leider nich zu kopieren! Da kommt immer so ein kleines Fenster über meiner Uhr, mit einem entsprechendem Hinweis!

Im Norten Security-Center steht folgendes:

*** *** *** ***

Name des Risikos:
Portscan

Risikostufe:
Mittel [x] [x] [ ]

Standartaktion:
Blockieren

Durchgeführte Aktion:
Blockieren

Angreifender Computer:
193.254.160.1, 53

Zieladresse:
xx.xxx.x.xxx, xxxxx (schätze mal das wird meine sein!)

Traffic-Beschreibung:
UDP, 53

Und untendrunter steht:
Netzwerk-Traffic von 193.254.160.1 entspricht der Signatur eines Bekannten Angriffs.
Wenn sie nicht mehr auf Traffic dieses Typs hingewiesen werden möchten, wählen sie... (bla bli blub etc.)

*** *** *** ***

Deine Hinweise hab ich (so weit mir möglich war) durchgeführt.

R3 - URLSearchHook: (no name) - - (no file) ist gefixt.
Superantispyware und Adobe Reader 8.1.4 - Deutsch sind runner geschmisse.
Nach Foxit Reader werd ich gleich suchen...

Bleibt nur noch das ding mit Avira vs. Norton

Problematisch ist allerdings die Tatsache das ich deiner Aufforderung die System-Wiederherstellung zu deaktivieren nich nachkommen kann, da es in meinem Drop Down Menü auf dem Dasktop nicht die Option "Eigenschaften" giebt. Und da ich nich genau weiss welchen Datenträger du meinst, lass ich es vorerst mal lieber, bis du mir eine alternativen Weg mitgeteilt hast. Weil bevor ich da auf "Gut-Glück" irgendwo rum mache...

Auch wenn du's nich mehr lesen kannst, wünsch ich dir eine gute Nacht. Und bedanke mich soweit für deine Hilfe und vor allem für deine Geduld! :)

Hab morgen allerdings SD und kann daher erst gegen 09:30Uhr online kommen!

bis...
Koresh

Versuch das mal auf diesem Wege mit der Systemwiederherstellung.

* Windows Vista:
* Windows Vista Symbol anklicken
* In die Suche "Wiederherstellung" eingeben => das gefundene Tool starten
* Klicke auf den link systemwiederherstellung aktivieren - deaktivieren * Klicke im nächsten Hilfefenster auf >> Klicken Sie hier, um "System" zu öffnen.<< * Wähle "Computerschutz" => dann fortsetzen Auswahl* treffen, für welche Datei SWH aktiviert werden soll
* Button "übernehmen" drücken => sofort ein SWHP erstellen in dem du den Button "erstellen" drückst. Wenn du die Systemwiederherstellung wieder deaktivieren möchtest, dann die *Auswahl aufheben, das ausschalten bestätigen und den Button "übernehmen" drücken.

Moinsen!

Das scheint etwas anders zu laufen bei mir als du es geschildert hast. oder ich mach was falsch!? Aber ich glaub ich habs!


"SWHP" = Wiederherstellungspunkt?

Ja, das ist der Wiederherstellungspunkt. Nachdem du alles gemacht hattest kümmern wir uns um dein Problem, was Norton schildert.

Nur zum Verständniss:

Ich entferne das häckchen das Häckchen, starte neu, erstelle ein SWHP, tu das Häckchen wieder rein und dan noch mal neu starten!?

Nein, mach das Häckchen nur in die Laufwerke rein, dann tust du neustarten und dann die Häckchen wieder rausnehmen bitte.
KEINE systemwiederherstellung selbst machen, weil du dich sonst neu infizierst mit Navipromo.

okay, done...

und nu!?

Kümmern wir uns um dein Norton Kram.

Gehe mal bitte auf die Windows Firewall und sage mir ob sie Aktiv ist.
Gehe bitte in die Eingabeaufforderung und gebe hier "cmd" ein um zu schauen wie es mit deinen Verbindungen im Netzwerk aussieht/bwz. im Rechner zum Internet.
Schau auch in der Eingabeaufforderung nach wegen "netstat -a" und poste es hier.

Die Win-FW is nich aktiv:

*** *** *** ***

Wenn ich "cmd" eingebe kommt lediglich:

C:\Users\xxx>cmd
Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.


*** *** *** ***

bei "netstat -a" kommt:



C:\Users\xxx>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:445 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:554 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:2869 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:5357 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:10243 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49152 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49153 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49154 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49155 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49156 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49157 xxx-PC:0 ABHÖREN
TCP 0.0.0.0:49158 xxx-PC:0 ABHÖREN
TCP 10.221.155.68:49196 72.5.124.55:http SCHLIESSEN_WARTEN
TCP 10.221.155.68:49197 80.12.97.27:http SCHLIESSEN_WARTEN
TCP 10.221.155.68:49401 mail:https SCHLIESSEN_WARTEN
TCP 127.0.0.1:49159 xxx-PC:0 ABHÖREN
TCP [::]:135 xxx-PC:0 ABHÖREN
TCP [::]:445 xxx-PC:0 ABHÖREN
TCP [::]:554 xxx-PC:0 ABHÖREN
TCP [::]:2869 xxx-PC:0 ABHÖREN
TCP [::]:5357 xxx-PC:0 ABHÖREN
TCP [::]:10243 xxx-PC:0 ABHÖREN
TCP [::]:49152 xxx-PC:0 ABHÖREN
TCP [::]:49153 xxx-PC:0 ABHÖREN
TCP [::]:49154 xxx-PC:0 ABHÖREN
TCP [::]:49155 xxx-PC:0 ABHÖREN
TCP [::]:49156 xxx-PC:0 ABHÖREN
TCP [::]:49157 xxx-PC:0 ABHÖREN
TCP [::]:49158 xxx-PC:0 ABHÖREN
TCP [::1]:49160 xxx-PC:0 ABHÖREN
UDP 0.0.0.0:123 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5004 *:*
UDP 0.0.0.0:5005 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:49152 *:*
UDP 10.221.155.68:1900 *:*
UDP 10.221.155.68:53452 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:53453 *:*
UDP 127.0.0.1:58609 *:*
UDP 127.0.0.1:58700 *:*
UDP 127.0.0.1:58701 *:*
UDP 127.0.0.1:58702 *:*
UDP [::]:123 *:*
UDP [::]:500 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:5004 *:*
UDP [::]:5005 *:*
UDP [::]:49153 *:*
UDP [::1]:1900 *:*
UDP [::1]:53450 *:*
UDP [fe80::100:7f:fffe%9]:1900 *:*
UDP [fe80::100:7f:fffe%9]:53451 *:*
UDP [fe80::fd6c:d596:66d2:1a95%8]:1900 *:*
UDP [fe80::fd6c:d596:66d2:1a95%8]:53449 *:*

Schau mal hier vorbei > Shutdown Windows' servers

Okay, klingt erst emol nich schlecht... Aber da steht gor nüscht über Win-Vista in der BEschreibung! Wie gut isses also geeignet für mich!?

Lies dir zusätzlich noch das durch.

Tipps, Tricks &#038; Kniffe Blog Archiv Vista beschleunigen: Überflüssige Dienste abschalten

pcwVistaServices 1.2 Download - PC-WELT

XP, Vista: Tipp: Windows-Dienste optimal konfigurieren - PC-WELT

Kraftpaket: Schnelle Tipps fürs Vista-Tuning @ NETZWELT.de

Okay das wir ein bischen dauern bis ich da durch bin!

Kannst du mir einen Tipp geben, worauf ich achten sollte! Oder soll ich mir alle runterladen!...