Hallo,

Sober ist kein "kleiner" Virus, schau mal, was der so kann.

Zitat:

O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

Deinstalliere über Systemsteuerung / Software / WhenUSave

Was sind das denn für andere Meldungen und ist der Sober ausgebrochen, oder wurde er abgefangen?

Gruß

Schrulli

Hi!
ja hast ja recht viren sind nie was schönes und ja sie können was anrichten am schlimmsten ist aber doch die nervliche Belastung
Also dein Tipp mit Systemsteuerung/ Software/ When u save löschen, mag ja richtig sein, aber ich finde diesen Pfad erst gar nicht..versteckte Dateien vielleicht? Ich habe dir hier mal einen ausdruck meines Viren Programms sind sogar über 60 Warnungen. Was ist nun böse und was brauch daas System? Sieht mein Log-file denn sonst in Ordnung aus???


Erstellungsdatum der Reportdatei: Montag, 27. März 2006 22:10


Job Name: 'Lokale Laufwerke'

Es wird nach 343813 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: matt
Computername: ***

Versionsinformationen:
AVSCAN.EXE : 7.0.0.28 532520 15.03.2006 10:19:00
AVSCAN.DLL : 7.0.0.28 53288 15.03.2006 10:18:59
LUKE.DLL : 7.0.0.28 114728 15.03.2006 10:19:00
LUKERES.DLL : 7.0.0.28 32768 15.03.2006 10:19:00
ANTIVIR0.VDF : 6.32.0.60 4323840 15.03.2006 06:46:27
ANTIVIR1.VDF : 6.34.0.11 1424384 15.03.2006 06:46:28
ANTIVIR2.VDF : 6.34.0.75 207872 27.03.2006 20:08:45
ANTIVIR3.VDF : 6.34.0.103 60928 27.03.2006 20:08:45
AVEWIN32.DLL : 7.0.0.3 1167872 28.02.2006 15:06:46
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 11:05:53
AVREP.DLL : 6.34.0.100 2461736 27.03.2006 20:08:45
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 08:03:37
AVREG.DLL : 6.31.0.90 27688 28.07.2005 09:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 06:56:47
NETNW.DLL : 6.32.0.0 9768 27.09.2005 06:56:47


Beginn des Suchlaufs: Montag, 27. März 2006 22:10


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

Die Registry wurde durchsucht ( 61 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Anwendungsdaten\Mozilla\Firefox\Profiles\evpgq2uh.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Temp\JET74BD.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Temp\JET7579.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Temp\~DF34DF.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Temp\~DF9459.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Temp\~DFFBDA.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Montag, 27. März 2006 22:42
Benötigte Zeit: 32:28 min

Der Suchlauf wurde vollständig durchgeführt.

2766 Verzeichnisse wurden überprüft
154222 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
6214 Archive wurden durchsucht
64 Warnungen
0 Hinweise

Hallo Pitcher,
hast du dir Schrullis Link angesehen ? War da deiner dabei ? Schrullis Fragen bedürfen immer noch einer Antwort deinerseits.Antivir darf bei Windows nicht in jede Datei sehen,es gibt dann beleidigt "Warnungen " aus.
Hijackthis lügt nicht,das hier ist bei dir drauf und muß runter :
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
So ist auch nichts zu finden ?
C:\Programme\Save\Save.exe
Schau mal in Schrullis Signatur nach "Dateien sichtbar machen"
Ist es so eingestellt und kannst du jetzt was finden.?
Irrlicht

Hallo,

Zitat:

Zitat von Schrulli

Was sind das denn für andere Meldungen und ist der Sober ausgebrochen, oder wurde er abgefangen?

hast Du hier noch ein Log für uns?

Gruß

Schrulli

Antivir hat ein eigenes Forum:

http://forum.antivir-pe.de

Die "Warnungen" habe ich auch und laut Antivir sind diese nicht erheblich.

Hallo,

Zitat:

Zitat von Nada01

Antivir hat ein eigenes Forum:

was Du alles weißt

Zitat:

Die "Warnungen" habe ich auch und laut Antivir sind diese nicht erheblich.

Hatten wir schon, wichtig wäre die Logs mit den Sober Infizierungen, um festzustellen inwieweit der Virus aktiv geworden ist.

Gruß

Schrulli

Hallo miteinander..

So habe mal wieder Zeit gefunden euch zu texten. Also welcher Wurm es nun war (A,B,C) weiß ich nicht. Hatte vorher Norton drauf und die Alte version 6 vom Anti-vir und beide liefen ohne Probleme nebeneinander. Dann hat ich ein Update auf Anti-vir 7.0 durchgeführt und es tat sich gar nichts mehr, bzw stundenlang verzögert zum öffnen einer Datei! In meiner Panik hatte ich anti-vir runter geschmissen und mit Norton ne Virusprüfung gemacht. Dieser hat mir dann gesagt Virus Sober W32 entdeckt(Es könnte B gewesen sein). Ich drückte einfach auf entfernen&dachte damit ist er vom Pc. Dann sagte mir aber nen Kollege das 2 aktive Viren Programme die Ursache waren wegen der Verlangsamerung & ich solle mir das bessere anti-vir holen und norton entfernen. Habe ich dann auch gemacht& hab daher kein Bericht mehr davon & keine Ahnung welche Endung er hatte.. Tja Schite!

Habe aber alle versteckten Dateien nun nach Anleitung schrullis mir anzeigen lassen und nach dem c:\Programme\save\save.exe gesucht. Er hat mir 4 Quellen angezeigt ich habe versucht die per Strg. C zu kopieren aber das einzige was hier erscheint ist

hijackthis.log c:\dokumente und Einstellungen
setupapi.log c:\windows
collecteddata_45.xml C:\windows\pchealth\helpctr\datacoll
collecteddata_194.xml " " " "

Könnt ihr damit was anfangen, mir sagen wo er sich noch drin verstecken könnte.

Na aber nen anderen Trojaner oder ähnliches habe ich nicht, oder???

Grüße