|
Plagegeister aller Art und deren Bekämpfung: Bitte um Hilfe. PC ist wahrscheinlich infiziertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.12.2007, 00:20 | #1 |
| Bitte um Hilfe. PC ist wahrscheinlich infiziert Hallo, ich habe im Internet das Programm "No Adware" heruntergeladen. Und "No Adware" zeigt mir folgendes an: Backdoor Sdboot.F C:\Windows\RunDll16.exe W32.Looked.C C:\Windows\Logo1_.exe W32.Sality.U C:\Windwows\system32\vcmgcd32.dllFile Nachdem mir No Adware die Ergebnisse angezeigt hat, meldet mir Bitdefender auf einmal: Datei c:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\MWAVSCAN.COM infiziert mit BehavesLike:Win32.FileInfector Der Virus wurde geblockt. Ihr System wurde nicht infiziert. Habe deshalb mal einen eScan durchgeführt hier das Ergebnis: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.5.9 Sprache: German Virus-Datenbank Datum: 12/12/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Aktion vorgenommen. System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Aktion vorgenommen. System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Programme\Spyware Doctor\~tmp\~LUFA.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{054CF1C8-110F-4653-9355-18D6FEE0CBC4}\RP34\A0081961.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{054CF1C8-110F-4653-9355-18D6FEE0CBC4}\RP34\A0081976.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{054CF1C8-110F-4653-9355-18D6FEE0CBC4}\RP34\A0091820.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{054CF1C8-110F-4653-9355-18D6FEE0CBC4}\RP34\A0091835.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{14CD45C7-5AFE-45CA-A6FC-0B1CFD5C17C8}\RP34\A0006299.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{14CD45C7-5AFE-45CA-A6FC-0B1CFD5C17C8}\RP34\A0006315.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP17\A0022270.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP17\A0022285.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP7\A0002920.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP7\A0002935.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP9\A0003576.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{53710B75-2FB5-4D80-B9B4-57D424E3A2D9}\RP9\A0003592.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{9DD26656-2A81-4413-BC49-04D1D2C5AC7B}\RP2\A0017364.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{9DD26656-2A81-4413-BC49-04D1D2C5AC7B}\RP2\A0017379.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{9DD26656-2A81-4413-BC49-04D1D2C5AC7B}\RP2\A0033681.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{9DD26656-2A81-4413-BC49-04D1D2C5AC7B}\RP2\A0033696.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{B4602A21-2D52-4D12-B037-F6B9FA7F19F8}\RP4\A0001393.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{B4602A21-2D52-4D12-B037-F6B9FA7F19F8}\RP4\A0001408.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{BFD44244-DAC0-4FC8-9DE0-6BF185B4D4A1}\RP5\A0002838.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\System Volume Information\_restore{BFD44244-DAC0-4FC8-9DE0-6BF185B4D4A1}\RP5\A0002853.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 64586 Gefundene Viren: 3 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 33 Dauer des Scans bisher: 00:31:35 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 0:07:58,26 Batchende: 0:08:09,07 Was habe ich mir da genau eingefangen? Hier noch einige Fragen, da ich kein Experte bin: ich habe ein Backupimage von meinem PC, als er noch nicht infiziert war. Kann ich mit diesem Backupimage (Systempartition C:\),meinen PC wiederherstellen, so das ich keine infizierten Dateien mehr auf dem PC habe? Ich meine, ist dann mein PC wieder frei von infizierten Dateien? Ist es ratsam von allen Partitionen ein Backupimage zu erstellen (wenn natürlich der PC sauber ist)? Oder reicht es, wenn man von der Systempartition C:\ ein Backupimage erstellt? (Zur Info: ich habe 2 Festplatten, die erste Festplatte ist in drei Partitionen unterteilt und die zweite Festplatte hat nur eine Partition). Oder würdet Ihr mir raten den Auslieferungszustand des PC`s wiederherstellen? Habe ich dann am sichersten wieder einen sauberen PC. Kenne mich leider nicht so gut aus. Vielen Dank im Voraus. Geändert von jens_78 (12.12.2007 um 00:34 Uhr) |
12.12.2007, 02:08 | #2 | ||||
| Bitte um Hilfe. PC ist wahrscheinlich infiziertZitat:
Zitat:
Zitat:
Zitat:
Weiterführende Infos findest du in http://www.trojaner-board.de/12154-a...sicherung.html Gruß ordell Geändert von ordell1234 (12.12.2007 um 02:24 Uhr) |
13.12.2007, 03:04 | #3 |
| Bitte um Hilfe. PC ist wahrscheinlich infiziert Hallo,
__________________danke für die schnelle Antwort. Also würdest du mir raten, dass Programm NoAdware zu deinstallieren? Aber die Datei Backdoor Sdboot.F hört sich doch wirklich nicht gut an. Wie soll jemand wie ich, der nicht so viel Ahnung hat, wissen das das Programm eSan diese Datei erstellt. Was ist denn mit dem Ergebnis von eScan: System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Aktion vorgenommen. System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Aktion vorgenommen. System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})! Action taken: Keine Aktion vorgenommen. Wobei handelt es sich dabei? Und wie beurteilst du das Ergebnis von Bitdefender: Datei c:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temp\MWAVSCAN.COM infiziert mit BehavesLike:Win32.FileInfector Der Virus wurde geblockt. Ihr System wurde nicht infiziert. Habe jetzt auch mal das Programm "Ad-Aware" durchlaufen lassen mit folgenden Ergebnissen: Adware.CDN (Malware) File Root: HKCR Path: clsid\{d449eb58-55af-4695-b216-895d546aed89} File Root: HKCR Path: interface\{446761d5-3ac9-40cc-9dcd-cde23e2ce31a} File Root: HKCR Path: typelib\{b7db519e-7131-47b1-a9f5-da8d061c2611} Was bedeuten denn diese Ergebnisse von Ad-Aware? Sind das Trojaner? Soll ich die gefundenen Einträge löschen? Gibt es das Programm "Ad-Aware" eigentlich auch auf Deutsch? Was für ein Programm benutzt du denn, um am sichersten herauszufinden ob der Computer infiziert ist? Lohnt es sich da, dass Programm eSan zu kaufen? Oder was für ein Programm würdest du empfehlen? Hat das Programm auch einen Echtzeitschutz? Bin echt am verzweifeln, wie und mit welchem Programm man am besten herausfindet ob man mit irgendwas infiziert ist. Hier nun mein HJT-log: gfile of HijackThis v1.99.1 Scan saved at 02:24:17, on 13.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Caere\OmniPagePro90\opware32.exe C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe C:\Programme\Razer\CopperHead\razerhid.exe C:\Programme\AxBx\VirusKeeper 2007 Pro Probeversion\VirusKeeper.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Softwin\BitDefender10\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\NoAdware5.0\NoAdware5.exe C:\Programme\Razer\CopperHead\razertra.exe C:\Programme\Razer\CopperHead\razerofa.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [razer] C:\Programme\Razer\CopperHead\razerhid.exe O4 - HKLM\..\Run: [VirusKeeper] C:\Programme\AxBx\VirusKeeper 2007 Pro Probeversion\VirusKeeper.exe O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NoAdware5] "C:\Programme\NoAdware5.0\NoAdware5.exe" :Min: O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity Trial\AVK\AVKWCtl.exe (file missing) O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Vielen Dank im Voraus für die Antworten. Geändert von jens_78 (13.12.2007 um 03:12 Uhr) |
13.12.2007, 10:15 | #4 | |||||||
| Bitte um Hilfe. PC ist wahrscheinlich infiziertZitat:
Zitat:
Zitat:
Zitat:
Zitat:
Nimm ein AVP, mit dem du gut zurecht kommst, dessen Meldungen du verstehst und eines, was von der Performance deiner Kiste auch noch was übrig läßt. Personal Firewalls sind überflüssig. Ebenso halte ich Antispyware- und Antiadware-tools für Pfeffer, da die Malwarekategorien ohnehin fließend sind. Ein guter scanner deckt das alles ab, den Rest erledigt man mit einer vernünftigen Konfiguration seiner Software. Bsp cookies: cookie-Einstellungen Zitat:
zum HJT-log: fixe die Überbleibsel von G-Data Zitat:
|
14.12.2007, 23:49 | #5 |
| Bitte um Hilfe. PC ist wahrscheinlich infiziert Hallo, danke für deine Antwort. Aber jetzt komm ich schon etwas durcheinander. Ich glaube das trotzdem mit meinem PC irgendwas nicht stimmt. Habe nämlich eScan im normalen Modus mal gestartet und da wird mir doch auf einmal angezeigt:System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. Also hab ich mal im Internet geschaut und da wurde gesagt das man mit dem Programm "SmitfraudFix" den Virus "video activex access Trojan" entfernen könne. Ich habe das Programm ausgeführt (nach Anleitung). Ich glaubte damit sei das Problem gelöst. Also hab ich eScan nochmal im abgesicherten Modus gestartet um zu schauen ob mein System jetzt sauber ist. Doch der Virus ist immer noch da und zusätzlich bekomme ich auch noch folgenden Schädling angezeigt: trojan-downloader.bat.ftp. [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] Geändert von jens_78 (15.12.2007 um 00:18 Uhr) |
15.12.2007, 16:52 | #7 |
| Bitte um Hilfe. PC ist wahrscheinlich infiziert Hallo, ja aber mal im ernst, warum bekomm ich denn von eScan die Datei trojan-downloader.bat.ftp. und video activex access Trojan angezeigt? Ich bin wirklich absoluter Anfänger was das Thema betrifft. Bitte um Hilfe. |
15.12.2007, 17:27 | #8 |
/// Helfer-Team | Bitte um Hilfe. PC ist wahrscheinlich infiziert Was eScan "trojan-downloader.bat.ftp" nennt, sind Überreste von Smitfraudfix. Einfach ignorieren, einmal, wie von ordell schon gesagt, die Systemwiederherstellung deaktivieren, Rechner neu starten und es sollte gut sein. Den Report von Smitfraudfix könntest du aber noch mal posten, wenn du ihn noch hast.
__________________ Alle Tipps und Anleitungen ohne Gewähr |
15.12.2007, 21:23 | #9 | |
| Bitte um Hilfe. PC ist wahrscheinlich infiziertZitat:
Habe es so gemacht, wie du gesagt hast. Aber danach wurde immer noch von eScan die Meldungen angezeigt: "System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader" und "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" Habe dann manuell die betroffenen Dateien gelöscht: Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe OK somit habe ich das Problem lösen können, was die Überreste von dem Programm "Smitfraudfix" betrifft. Aber die Meldung "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" bekomme ich immer noch angezeigt. Kannst Du mir sagen, wobei es sich dabei handelt? Also mit dem Programm "Smitfraudfix" habe ich es nicht geschafft den video activex access Trojan wegzubekommen. Hier mal der Report von Smitfraufix: SmitFraudFix v2.268 Scan done at 21:44:02,39, 14.12.2007 Run from C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\SmitraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files Problem while deleting C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{9956EF14-FE9B-48BE-ACD3-37CDBF163337}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll Bitte um Hilfe was genau der Report aussagt. Wie bekomme ich den video activex access Trojan weg? Oder handelt es dabei auch nur um Überreste, von irgendein Programm? Geändert von jens_78 (15.12.2007 um 21:32 Uhr) |
18.12.2007, 14:55 | #10 |
| Bitte um Hilfe. PC ist wahrscheinlich infiziert Also habe herausgefunden das folgende Meldung von eScan mit Windows Live Messenger zusammenhängt. "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" . Sobald ich Windows Live Messenger deinstalliere, bekomme ich auch keine Meldung mehr von eScan. Das heißt, dass man diese Meldung von eScan: "System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})" ignorieren muss, wenn man Windows Live Messenger installiert hat. Verstehe ich das richtig? Wäre interessant wenn andere Benutzer hier schreiben würden, ob sie auch diese Meldung von eScan bekommen, wenn sie Windows Live Messenger auf dem Rechner installiert haben. |
18.12.2007, 15:32 | #11 |
| Bitte um Hilfe. PC ist wahrscheinlich infiziert Yep. Du bist sauber, soweit sich das bisher beurteilen läßt. Wenn du keine Probleme mit dem Rechner hast, lass die Scannerei sein. Irgendwas findet sich immer, und wenn's ein Fehlalarm ist. |
21.12.2007, 23:01 | #12 |
| Bitte um Hilfe. PC ist wahrscheinlich infiziert Vielen Dank für Eure Hilfe !!! Aber folgendes würde ich gerne noch wissen. Ich habe Wiso Internet Security auf meinem Rechner installiert. Und bekomme auch wenn ich nur Laufwerk C:\ scanne, immer die Meldung, das die Masterbootsektoren HD 2; HD3; HD4 und HD5 nicht gelesen werden konnten. Und folgende Meldung kann ich mir auch nicht erklären: C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Hier die dazugehörige Reportdatei: WISO Internet Security Erstellungsdatum der Reportdatei: Freitag, 21. Dezember 2007 23:37 Es wird nach 985274 Virenstämmen gesucht. Lizenznehmer: WISO Internet Security Seriennummer: ******-******-****** Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.******] Benutzername: *** Norton Ghost Computername: ***-******* Versionsinformationen: BUILD.DAT : 89 24372 Bytes 14.11.2007 12:36:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 12:16:00 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 14:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 14:32:34 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 14:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 17:49:00 ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 14.12.2007 17:49:00 ANTIVIR3.VDF : 7.0.1.139 186368 Bytes 21.12.2007 22:15:35 AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 21.12.2007 22:15:35 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 06:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.6.0.2 360488 Bytes 21.12.2007 22:15:35 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 06:16:55 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 11:26:07 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 06:10:07 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03 RCIMAGE.DLL : 7.0.1.35 3084328 Bytes 29.10.2007 13:54:43 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:37:35 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 08:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Manuelle Auswahl Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WISO Internet Security\PROFILES\folder.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: umbenennen Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Freitag, 21. Dezember 2007 23:37 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '25815' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razertra.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VProTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'THGuard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OPware32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VProSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mscorsvw.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '47' Prozesse mit '47' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [HINWEIS] Es wurde kein Virus gefunden! Masterbootsektor HD1 [HINWEIS] Es wurde kein Virus gefunden! Masterbootsektor HD2 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD3 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD4 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Masterbootsektor HD5 [HINWEIS] Es wurde kein Virus gefunden! [WARNUNG] Der Bootsektor konnte nicht gelesen werden! [WARNUNG] Fehlercode: 0x0015 Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '34' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Freitag, 21. Dezember 2007 23:37 Benötigte Zeit: 00:33 min Der Suchlauf wurde vollständig durchgeführt. 1 Verzeichnisse wurden überprüft 130 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 130 Dateien ohne Befall 0 Archive wurden durchsucht 1 Warnungen 0 Hinweise 25815 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Geändert von jens_78 (22.12.2007 um 00:00 Uhr) |
Themen zu Bitte um Hilfe. PC ist wahrscheinlich infiziert |
1.exe, adware, auf einmal, defender, dll, drivers, einstellungen, escan, fehler, festplatte, frage, hosts-datei, infected, infiziert, infiziert., internet, ordner, programm, programme, prozesse, registry, rundll, spyware, system, system volume information, temp, viren, virus, windows, windows xp, windows\system32\drivers, windwows |