| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Starker Schädlingsbefall!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
17.05.2006, 18:05
| #1 |
| Gast |  Starker Schädlingsbefall!! Hallo! Ich habe nach einem virusscan gestern abend diverse Schädlinge entdeckt die ich irgendwie nicht loswerde.  Weder Über Antivir, noch Bitdefender konnten sie entfernt werden und das Verzeichnis in denen sie teilweise gefunden werden existiert gar nicht, also lässt sich da auch manuell nichts machen. Bin allerdings eher ein anfänger was diese dinge angeht deswegen hier erstmal der HijackThis logfile, der antivir report und der bitdefender report. Bitte sehr sehr sehr um hilfe da ich wirklich keine lust habe den pc neuaufzusetzen! AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Mittwoch, 17. Mai 2006 13:46 Es wird nach 383695 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: *** Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: *** Computername: *** Versionsinformationen: AVSCAN.EXE : 7.0.0.38 593960 22.04.2006 21:25:35 AVSCAN.DLL : 7.0.0.38 57384 22.04.2006 21:25:35 LUKE.DLL : 7.0.0.37 118824 22.04.2006 21:25:36 LUKERES.DLL : 7.0.0.37 32808 22.04.2006 21:25:36 ANTIVIR0.VDF : 6.32.0.60 4323840 22.04.2006 21:25:34 ANTIVIR1.VDF : 6.34.1.87 2215424 22.04.2006 21:25:34 ANTIVIR2.VDF : 6.34.1.88 1536 22.04.2006 21:25:35 ANTIVIR3.VDF : 6.34.1.92 8192 22.04.2006 21:25:35 AVEWIN32.DLL : 7.0.0.9 1212928 22.04.2006 21:25:35 AVPREF.DLL : 7.0.0.1 53288 22.04.2006 21:25:35 AVREP.DLL : 6.34.1.70 581672 22.04.2006 21:25:35 AVRPBASE.DLL : 7.0.0.0 2162728 11.05.2006 22:04:05 AVPACK32.DLL : 7.0.0.4 335912 22.04.2006 21:25:35 AVREG.DLL : 6.31.0.90 27688 22.04.2006 21:25:35 NETNT.DLL : 6.32.0.0 6696 22.04.2006 21:25:36 NETNW.DLL : 6.32.0.0 9768 22.04.2006 21:25:36 RCIMAGE.DLL : 7.0.0.63 1613864 22.04.2006 21:25:37 RCTEXT.DLL : 7.0.0.62 73768 22.04.2006 21:25:38 Konfiguration für den aktuellen Suchlauf: Job Name......................: Manuelle Auswahl Konfigurationsdatei...........: D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Bootsektoren..................: C,D Durchsuche Speicher...........: 0 Laufende Programme............: 1 Prüfe alle Dateien............: 2 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: -1 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Mittwoch, 17. Mai 2006 13:46 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 30 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 13 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\_RESTORE\ARCHIVE\FS12.cab [0] Archivtyp: CAB (Microsoft) --> A0000277.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS17.cab [0] Archivtyp: CAB (Microsoft) --> A0000524.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS41.cab [0] Archivtyp: CAB (Microsoft) --> A0007734.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS18.cab [0] Archivtyp: CAB (Microsoft) --> A0000677.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS22.cab [0] Archivtyp: CAB (Microsoft) --> A0001513.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS31.cab [0] Archivtyp: CAB (Microsoft) --> CHANGE.LOG [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS32.cab [0] Archivtyp: CAB (Microsoft) --> A0004231.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS35.cab [0] Archivtyp: CAB (Microsoft) --> A0005353.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS23.cab [0] Archivtyp: CAB (Microsoft) --> A0001722.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS44.cab [0] Archivtyp: CAB (Microsoft) --> A0009187.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS68.cab [0] Archivtyp: CAB (Microsoft) --> A0011086.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS89.cab [0] Archivtyp: CAB (Microsoft) --> A0013178.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS75.cab [0] Archivtyp: CAB (Microsoft) --> A0011493.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS77.cab [0] Archivtyp: CAB (Microsoft) --> A0011703.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS37.cab [0] Archivtyp: CAB (Microsoft) --> A0007366.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS82.cab [0] Archivtyp: CAB (Microsoft) --> A0011948.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS85.cab [0] Archivtyp: CAB (Microsoft) --> A0012963.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS84.cab [0] Archivtyp: CAB (Microsoft) --> A0014361.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS91.cab [0] Archivtyp: CAB (Microsoft) --> A0014157.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS83.cab [0] Archivtyp: CAB (Microsoft) --> A0012128.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS94.cab [0] Archivtyp: CAB (Microsoft) --> A0014243.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS96.cab [0] Archivtyp: CAB (Microsoft) --> A0014311.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS110.cab [0] Archivtyp: CAB (Microsoft) --> A0018572.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS117.cab [0] Archivtyp: CAB (Microsoft) --> A0020622.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS114.cab [0] Archivtyp: CAB (Microsoft) --> A0019664.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS125.cab [0] Archivtyp: CAB (Microsoft) --> A0024817.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS120.cab [0] Archivtyp: CAB (Microsoft) --> A0021759.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS133.cab [0] Archivtyp: CAB (Microsoft) --> A0026182.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS138.cab [0] Archivtyp: CAB (Microsoft) --> A0028401.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS135.cab [0] Archivtyp: CAB (Microsoft) --> A0028193.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS132.cab [0] Archivtyp: CAB (Microsoft) --> A0026147.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS136.cab [0] Archivtyp: CAB (Microsoft) --> A0028395.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS147.cab [0] Archivtyp: CAB (Microsoft) --> A0030643.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS143.cab [0] Archivtyp: CAB (Microsoft) --> A0028528.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS153.cab [0] Archivtyp: CAB (Microsoft) --> A0031869.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS154.cab [0] Archivtyp: CAB (Microsoft) --> A0032229.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS144.cab [0] Archivtyp: CAB (Microsoft) --> A0029529.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS150.cab [0] Archivtyp: CAB (Microsoft) --> A0031257.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS152.cab [0] Archivtyp: CAB (Microsoft) --> A0031765.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS173.cab [0] Archivtyp: CAB (Microsoft) --> A0037151.CPY [FUND] Ist das Trojanische Pferd TR/Killav.DB.2 --> A0037152.CPY [FUND] Ist das Trojanische Pferd TR/Killav.DB.2 --> A0037153.CPY [FUND] Ist das Trojanische Pferd TR/Dldr.Proxy.Sm.BO --> A0037154.CPY [FUND] Ist das Trojanische Pferd TR/Dldr.Tiny.BZ --> A0037155.CPY [FUND] Ist das Trojanische Pferd TR/Killav.DB.2 --> A0037156.CPY [FUND] Ist das Trojanische Pferd TR/Click.Small.KR --> A0037157.CPY [FUND] Ist das Trojanische Pferd TR/Killav.DB.2 --> A0037158.CPY [FUND] Ist das Trojanische Pferd TR/Dldr.Proxy.Sm.BO [INFO] Die Datei wurde gelöscht. C:\_RESTORE\ARCHIVE\FS177.cab [0] Archivtyp: CAB (Microsoft) --> A0040165.CPY [FUND] Enthält Signatur des Droppers DR/Agent.HD --> A0040167.CPY [FUND] Enthält Signatur des Droppers DR/Agent.HD --> A0040175.CPY [FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.I.2 --> A0040176.CPY [FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.I.1 --> A0040177.CPY [FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.I.1 --> A0040181.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. [INFO] Die Datei wurde gelöscht. C:\_RESTORE\ARCHIVE\FS179.cab [FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.D.3 [INFO] Die Datei wurde gelöscht. C:\_RESTORE\ARCHIVE\FS180.cab [0] Archivtyp: CAB (Microsoft) --> A0040253.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\_RESTORE\ARCHIVE\FS164.cab [0] Archivtyp: CAB (Microsoft) --> A0033975.CPY [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\System Volume Information\_restore{310C6AD0-8B8C-4922-B45F-5F46EFBCAB4F}\RP20\A0002290.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Harnig.BJ.1 [INFO] Die Datei wurde gelöscht. D:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\config\DEFAULT [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\config\SOFTWARE [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\config\SYSTEM [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\WINDOWS\SoftwareDistribution\EventCache\{675AEAA8-2CA6-4653-97D5-E7B89F11590B}.bin [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\ntuser.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\hijackthis.log [FUND] Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml [INFO] Die Datei wurde gelöscht. D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbeam [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbeao [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbdam [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbdao [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbu2d.ht1 [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbc2e.ht1 [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbvmh.ht1 [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbvm.cf1 [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\dbm [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\fiih.ht1 [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\fii.cf1 [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\rpmh.ht1 [WARNUNG] Die Datei konnte nicht geöffnet werden! D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Google Desktop Search\rpm.cf1 [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Mittwoch, 17. Mai 2006 15:01 Benötigte Zeit: 1:15:29 min Der Suchlauf wurde vollständig durchgeführt. 2390 Verzeichnisse wurden überprüft 166066 Dateien wurden geprüft 16 Viren bzw. unerwünschte Programme wurden gefunden 5 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2475 Archive wurden durchsucht 38 Warnungen 0 Hinweise Logfile of HijackThis v1.99.1 Scan saved at 18:54:53, on 17.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe D:\Programme\MSN Messenger\MsnMsgr.Exe D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe D:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe D:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe D:\WINDOWS\system32\wuauclt.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Desktop Search] "D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145741408590 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147017058107 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe |
|
17.05.2006, 18:41
| #2 |
  | Starker Schädlingsbefall!! mOIn sil78,
__________________versuche mal das hier : Systemwiederherstellung deaktivieren in Windows XP und anschließend neuen Scan mit AntiVir und berichten. MFG aus HH |
|
17.05.2006, 21:05
| #3 |
| Gast | Starker Schädlingsbefall!! so habs gemacht und antivir hat im abgesicherten modus keine Viren mehr gefunden, nur 17 warnungen.
__________________Hier der neue HijackThis Logfile Logfile of HijackThis v1.99.1 Scan saved at 21:57:06, on 17.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\Explorer.EXE D:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Desktop Search] "D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145741408590 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147017058107 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe mach jetzt nochmal einen scan mit bitdefender oder ähnliches. Freut mich von meiner heimatstadt unterstützt zu werden! |
|
17.05.2006, 21:21
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Starker Schädlingsbefall!! Dein Logfile sieht jetzt sauber aus. Mach mal ein Check mit eScan und poste das mit der FIND.BAT erstellt Logfile. Anleitung unten in meiner Signatur. btw: Hast Du das zweite Hijackthis-Logfile im agbesicherten Modus erstellt?
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
17.05.2006, 21:34
| #5 |
| Gast | Starker Schädlingsbefall!! ja der logfile wurde im abgesicherten modus gemacht, sollte das nicht so sein? mach jetzt e-scan muss nur wissen ob ich das auch abgesichert machen soll (also abgesichert mit netzwerk) oder im normalen modus und wann soll ich systemwiederherstellung wieder an machen? |
|
17.05.2006, 21:49
| #6 |
| Gast | Starker Schädlingsbefall!! so nochmal mein logfile bei normalem systemstart allerdings bei deaktivierter systemwiederherstellung. Logfile of HijackThis v1.99.1 Scan saved at 22:46:31, on 17.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe D:\Programme\MSN Messenger\MsnMsgr.Exe D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe D:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe D:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe D:\WINDOWS\system32\wuauclt.exe D:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe D:\WINDOWS\system32\wuauclt.exe D:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Desktop Search] "D:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145741408590 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147017058107 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe |
|
17.05.2006, 21:50
| #7 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Starker Schädlingsbefall!!Zitat:
Die Systemwiederherstellung braucht man imho garnicht, denn sie ersetzt keine Backups auf externen Datenträgern. Vllt. ist sie für einige User ganz praktisch wegen der Wiederherstellungspunkte, kann aber eben auch Ärger nach sich ziehen, wenn sich gerade in dem Ordner dafür irgendwelche Schädlinge tümmeln. Und Speicherplatz frisst sie auch ganz schön.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Starker Schädlingsbefall!! |
| adobe, adobe reader, antivir, avg, avira, bho, defender, desktop, diverse schädlinge, downloader, einstellungen, google, helper, hijack, hijackthis, hijackthis logfile, internet, internet explorer, logfile, nt.dll, object, photoshop, prozesse, quara, registry, suchlauf, system, verweise, virus gefunden, warnung, windows |
Linear-Darstellung
