|
Log-Analyse und Auswertung: Antivir deaktiviert sichWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
31.08.2006, 11:00 | #1 |
| Antivir deaktiviert sich hallo, habe seit ich mein system neu aufgespielt habe (xphome/sp2) dass problem, dass sich der antivir nach jedem systemstart deaktiviert und das system ansonsten auch recht instabil läuft. zudem habe ich den pandasoft onlinecheck versucht, wobei sich der internet explorer aufgehängt hat. habe in foren gelesen, dass ich hier das hijjack log posten soll. bin für jede hilfe dankbar Logfile of HijackThis v1.99.1 Scan saved at 11:51:07, on 31.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Eumex 704PC LAN\Capictrl.exe C:\PROGRA~1\ICQ\ICQ.exe C:\WINDOWS\$NtUninstallKB885222$\IEXPLORE.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wpabaln.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Eumex 704PC LAN\HNetCtrl.exe C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\WINDOWS\system32\spider.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: CAPIControl.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: DirectX Service (DirectTezs) - Unknown owner - c:\windows\system32\directx.exe |
31.08.2006, 11:26 | #2 | |
| Antivir deaktiviert sich @polter
__________________Zitat:
Wenn diese Beschreibung stimmt, musst du dein System neu aufsetzen. |
31.08.2006, 11:50 | #3 |
| Antivir deaktiviert sich hallo,
__________________erst mal vielen dank für die superschnelle hilfe, habe mir die beschreibung angesehen, allerdings keine der aufgeführten fehlermeldungen erhalten. virustotal sagt, dass eine infektion von antivir erkannt werden müsste, der erkennt bei mir allerdings nichts. was soll ich tun? |
31.08.2006, 17:46 | #4 | ||
Administrator > Competence Manager | Antivir deaktiviert sichZitat:
Zitat:
Ich selbst denke nicht das du ohne eine komplette Neuinstallation den Schädling entfernen kannst!!! Gruß Sunny @ordell, ja das warst du
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
31.08.2006, 17:48 | #5 |
| Antivir deaktiviert sich Hallo, hier liegt ein Mißverständnis vor. Entscheidend ist, was sagen jotti/virustotal zu der Datei? Wird sie als infiziert erkannt, und wenn ja, poste die Meldungen. Es spielt keine Rolle, welche Meldungen Antivir auf deinem Rechner ausgibt, das Programm ist u.U. nicht mehr vertrauenswürdig. edit: @sunny - war zu langsam |
31.08.2006, 19:05 | #6 |
| Antivir deaktiviert sich hallo, dank euch allen erstmal, virustotal hatte mir von etwa 5 virenscannern eine virenmeldung rausgeworfen. welche weiß ich leider nicht mehr, aber antivir war dabei. hab in irgend nem anderen forum gelesen, dass man die datei mit hijjackthis mit delete an nt service unter mist tools wegkriegt. das klappte nicht wirklich. dann bin ich unter delete a file on reboot.. gegangen. die datei ist weg, antivir läuft wieder normal und ich hab noch nix schlechtes gemerkt? war das jetzt gut oder eher nicht so clever? wie kann ich rauskriegen, ob ich noch einen virus habe? welcher scanner erkennt den sonst noch? danke |
31.08.2006, 19:35 | #7 | |
Administrator > Competence Manager | Antivir deaktiviert sichZitat:
Wenn ihr schon Hilfe in einem Forum sucht, dann lest die Hilfestellungen auch richtig durch und befolgt sie. (sonst ist meine/unsere Hilfestellung sinnlos ) Ich an deiner Stelle würde das System trotzdem neu aufsetzen, zumal der Schädling dein Antivirenscanner beeinflusst bzw. verändert hat. Und wer weiß was noch alles .. Gruß
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
31.08.2006, 19:41 | #8 |
| Antivir deaktiviert sich Hallo, poste ein neues Hijackthis-log. Mach mal einen online-scan bei Kaspersky oder Panda (Internet-explorer mit ActiveX notw.) und poste den Bericht. Ob dein System sauber ist, bleibt wohl ein Glücksspiel, da niemand weiß, welcher Schädling bei dir aktiv war. Versuche in der Chronik deines Browsers die Ergebnisseite von virustotal zu finden und poste sie, falls noch vorhanden. Gruß |
01.09.2006, 10:35 | #9 |
| Antivir deaktiviert sich hallo @ sunny: sorry, hast ja recht, hatte es aber eilig @ordell1234 habe nen kaspersky scan gemacht und der hat so einiges gefunden (gibts gar nicht, hab das system vor 2 wochen erst neu gemacht und sofort alle updates drauf gemacht) Untersuchte Objekte insgesamt 42865 Viren gefunden 2 Infizierte Objekte gefunden 11 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 00:48:41 Name des infizierten Objekts Virusname Letzte Aktion C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Anwendungsdaten\Microsoft\Outlook\Outlook.NK2 Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Anwendungsdaten\Microsoft\Outlook\Outlook.srs Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Anwendungsdaten\Microsoft\Vorlagen\Normal.dot Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Anwendungsdaten\Mozilla\Firefox\Profiles\sw54j1bv.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Anwendungsdaten\Mozilla\Firefox\Profiles\sw54j1bv.default\formhistory.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Anwendungsdaten\Mozilla\Firefox\Profiles\sw54j1bv.default\googlesafebrowsing.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Anwendungsdaten\Mozilla\Firefox\Profiles\sw54j1bv.default\history.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Anwendungsdaten\Mozilla\Firefox\Profiles\sw54j1bv.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Anwendungsdaten\Mozilla\Firefox\Profiles\sw54j1bv.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\cli.exe.da01c7d0.ini.inuse Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sw54j1bv.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sw54j1bv.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sw54j1bv.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\sw54j1bv.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Temp\Perflib_Perfdata_1fc.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Temp\Perflib_Perfdata_abc.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Temp\Perflib_Perfdata_ac4.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Temp\~DF9602.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Temp\~DF981A.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Temp\~DFAA4D.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006090120060902\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Polter\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\Messages162205575.cdx Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\Messages162205575.dbf Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\Messages162205575.fpt Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\O162205575.cdx Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\O162205575.dbf Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\O162205575.fpt Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\Plugin162205575.cdx Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\Plugin162205575.dbf Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\Plugin162205575.fpt Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\Users162205575.cdx Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\Users162205575.dbf Das Objekt ist gesperrt übersprungen C:\Programme\ICQ\2003b\162205575\Users162205575.fpt Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP103\A0013742.EXE Infizierte Objekte: Backdoor.Win32.Rukap.ci übersprungen C:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP103\A0013750.EXE Infizierte Objekte: Backdoor.Win32.Rukap.ci übersprungen C:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP103\A0013764.EXE Infizierte Objekte: Backdoor.Win32.Rukap.ci übersprungen C:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP103\A0013774.EXE Infizierte Objekte: Backdoor.Win32.Rukap.ci übersprungen C:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP103\A0013782.EXE Infizierte Objekte: Backdoor.Win32.Rukap.ci übersprungen C:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP103\A0013873.EXE Infizierte Objekte: Backdoor.Win32.Rukap.ci übersprungen C:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP103\A0013882.EXE Infizierte Objekte: Backdoor.Win32.Rukap.ci übersprungen C:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP104\A0013916.EXE Infizierte Objekte: Backdoor.Win32.Rukap.ci übersprungen C:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP104\A0013924.exe Infizierte Objekte: Backdoor.Win32.Rukap.ci übersprungen C:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP106\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\$NtUninstallKB885222$\IEXPLORE.EXE Infizierte Objekte: Backdoor.Win32.Rukap.ci übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{7F79507B-5DF9-4FA5-A68E-8C36AF6658AA}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen D:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP106\change.log Das Objekt ist gesperrt übersprungen E:\RECYCLER\S-1-5-21-1708537768-1085031214-725345543-1003\De2.exe Infizierte Objekte: Trojan-Proxy.Win32.Horst.av übersprungen E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen E:\System Volume Information\_restore{FFBE1A69-224D-4B00-984D-33B034901064}\RP106\change.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. hijjack sagt: Logfile of HijackThis v1.99.1 Scan saved at 11:34:55, on 01.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Eumex 704PC LAN\Capictrl.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wpabaln.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Dokumente und Einstellungen\Polter\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web-Recherche Browser Helper Object - {255215E2-87DC-4819-8724-D0B4C94DBEF5} - C:\Programme\Web-Recherche\WRShell.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O3 - Toolbar: Web-Recherche-Symbolleiste - {8F0F47B1-7D4B-4834-A981-91E2A3DCE069} - C:\Programme\Web-Recherche\WRShell.dll O3 - Toolbar: Web-Recherche-Bearbeitungsleiste - {5338DF6C-3B3B-4E38-8B31-7B99986627B2} - C:\Programme\Web-Recherche\WRShell.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: CAPIControl.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Web-Recherche: Bild speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#101 O8 - Extra context menu item: Web-Recherche: Bild speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#108 O8 - Extra context menu item: Web-Recherche: Link-Adresse speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#110 O8 - Extra context menu item: Web-Recherche: Markierte Ziele speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#111 O8 - Extra context menu item: Web-Recherche: Markierung speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#104 O8 - Extra context menu item: Web-Recherche: Markierung speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#109 O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#102 O8 - Extra context menu item: Web-Recherche: Seitenbereich (Frame) speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#106 O8 - Extra context menu item: Web-Recherche: Ziel speichern - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#103 O8 - Extra context menu item: Web-Recherche: Ziel speichern unter... - res://C:\PROGRA~1\WEB-RE~1\wrshell.dll/#107 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab O18 - Protocol: cs - {3CBB59DA-1F82-4F10-A0E0-92C3FBD70889} - C:\Programme\Web-Recherche\WRProtocol.dll O18 - Protocol: wr - {3CBB59DA-1F82-4F10-A0E0-92C3FBD70889} - C:\Programme\Web-Recherche\WRProtocol.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: DirectX Service (DirectTezs) - Unknown owner - c:\windows\system32\directx.exe (file missing) Gruß |
01.09.2006, 10:58 | #10 |
| Antivir deaktiviert sich Hi Polter, allem Anschein nach hat sich bei Dir ein Backdoor-Trojaner eingenistet. In einem solchen Fall macht die Bereinigung keinen Sinn. Hier findest Du eine Anleitung um Dein System neu aufzusetzen. Les Dir alles in Ruhe durch. Falls es Unklarheiten gibt, frag einfach im Windowsforum nach. Gruß Marc
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
Themen zu Antivir deaktiviert sich |
adobe, antivir, antivir deaktiviert, aufgehängt, avg, avgnt, avgnt.exe, avira, bho, desktop, dll, einstellungen, excel, explorer, hijack, hijackthis, hijjack, internet, internet explorer, lan, log, microsoft, neu, problem, programme, rundll, system, system neu, windows, windows xp |