firewall wird beim neustart immer abgeschaltet!

starman

liebe virus-experten,

ich habe den pc einer bekannten hier, den ich gestern mit hilfe von hijackthis, spybot s&d, antivir (eine uralt-version von vor etlichen monaten war vorhanden habe sie upgedatet), ewido, sysclean und ad-aware SE bereits von vielen vielen schädlingen befreit habe.
(hauptproblem war gewesen, daß während der letzten monate die gesamte festplatte mit 18 GB an unbekannten, versteckten daten vollgelaufen war, so daß der pc nicht mehr funktionieren konnte - wie sich herausstellte, waren diese im versteckten systemverzeichnis c:\Dokumente und Einstellungen\vanessa\Complete gespeichert, ca. 78000 exe-dateien! lauter dateien mit porno-video-namen und viren-inhalt, sicher wurden sie dort anderen arglosen usern zum download angeboten - nur gut daß das alles über eine flatrate lief, sonst wäre es wohl teuer geworden! )

ich habe auch win32sec ausgeführt (f. "pc im netzwerk").
das letzte problem scheint zu sein, daß bei jedem reboot des PCs die windows firewall abgeschaltet wird! es erscheint auch kurz das warnfenster, daß der pc evtl. gefährdet ist, aber inzwischen nur noch sehr kurz, evtl. auch gar nicht mehr. will man die FW starten, kommt eine meldung, daß der entsprechende dienst nicht läuft.

es sind also immer noch viren-restbestände auf der platte.
gemäß der hier gefundenen anleitung habe ich per mvav und find.bat die angehängten infos gewonnen.

mir läuft leider die zeit davon -
wie kriege ich die restlichen schädlinge am schnellsten (und möglichst kostenlos) gekillt?

ich bedanke mich schon mal im voraus für eure liebenswürdige hilfe!!

beste grüße
starman (jörg)



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 22 01:36:15 2006 => System found infected with downloadplus Spyware/Adware (installer.exe)! Action taken: No Action Taken.
Wed Feb 22 01:36:19 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:20 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:21 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:21 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:21 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:22 2006 => System found infected with searchmiracle.elitebar Spyware/Adware (popsetarray[1].htm)! Action taken: No Action Taken.
Wed Feb 22 01:36:37 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*
Wed Feb 22 01:36:37 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44233a0d.qua
Wed Feb 22 01:36:38 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44283b80.qua
... und etliche weitere dieser art, die wohl hier nicht wichtig sind ...
Wed Feb 22 01:45:12 2006 => File C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\Temp\tsinstall_4_0_4_0_b4.exe infected by "Trojan-Downloader.Win32.TSUpdate.n" Virus! Action Taken: No Action Taken.
Wed Feb 22 01:46:21 2006 => File C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPAVGDMR\tsinstall_4_0_4_0_b4[1].exe infected by "Trojan-Downloader.Win32.TSUpdate.n" Virus! Action Taken: No Action Taken.
Wed Feb 22 02:08:56 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 22 01:31:57 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Wed Feb 22 01:36:14 2006 => Offending Key found: HKLM\Software\limewire !!!
Wed Feb 22 01:36:14 2006 => Offending Key found: HKCU\Software\kazaa !!!
Wed Feb 22 01:36:15 2006 => Offending file found: C:\installer.exe
Wed Feb 22 01:36:19 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\temporary internet files\content.ie5\6pohuped\popsetarray[1].htm
Wed Feb 22 01:36:20 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\temporary internet files\content.ie5\fgmn61xi\popsetarray[1].htm
Wed Feb 22 01:36:21 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\temporary internet files\content.ie5\wpavgdmr\popsetarray[1].htm
Wed Feb 22 01:36:21 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\Temporary Internet Files\content.ie5\6pohuped\popsetarray[1].htm
Wed Feb 22 01:36:21 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\Temporary Internet Files\content.ie5\fgmn61xi\popsetarray[1].htm
Wed Feb 22 01:36:22 2006 => Offending file found: C:\Dokumente und Einstellungen\vanessa\Lokale Einstellungen\Temporary Internet Files\content.ie5\wpavgdmr\popsetarray[1].htm
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Feb 22 02:08:56 2006 => Total Objects Scanned: 27434
Wed Feb 22 02:08:56 2006 => Total Critical Objects: 12
Wed Feb 22 02:08:56 2006 => Total Disinfected Objects: 0
Wed Feb 22 02:08:56 2006 => Total Deleted Objects: 0
Wed Feb 22 02:08:56 2006 => Total Errors: 75
Wed Feb 22 02:08:56 2006 => Time Elapsed: 00:37:41
Wed Feb 22 01:30:22 2006 => Virus Database Date: 2/22/2006
Wed Feb 22 02:08:56 2006 => Virus Database Date: 2/22/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~