|
Plagegeister aller Art und deren Bekämpfung: Brauche Hilfe gegen Trojan.KillAVWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.10.2007, 19:33 | #1 |
| Brauche Hilfe gegen Trojan.KillAV Bei mir hat sich heute der Virus Trojan.KillAV eingeschlichen, obwohl ich Norton Antivirus mit laufenden Auto-Protect im Einsatz habe und erst vor ein paar Tagen Norton auf den neusten Stand durch ein LiveUpdate gebracht habe. Der Virus macht sich dadurch bemerkbar, dass er den Internet-Explorer lauft ungefragt öffnet und folgende Fehlermeldungen bringt, wie z.B.: Windows Security Alert Warning! Potential Spyware Operation! Your computer is making unauthorized copies of your system and internet files. Run full scan now to pevert any unathoried access to your files! Click YES to download spyware remover... Nach dem man dann Nein klickt, kommt man auf Seite wie z.B: H**p://festplattenreiniger.com/... H**p://virusschlacht.com/... Etc. Zudem werden alle Internetseiten von den entsprechenden Sicherheitsfirmen (z.B. symantec, mcaffee, etc.) blockiert. Außerdem kann ich in der Windows-Systemsteuerung trotz Admin-Account nicht mehr auf die Internetoptionen zugreifen und auch der Zugriff beim Rechtsklick bei Arbeitplatz auf die Eigenschaften wird verweigert. Norton erkennt zwar den Virus, kann ihn aber nur teilweise entfernen. Auf meinem Rechner läuft Windows XP Home Edition mit SP2 Ich habe mir auch gerade, so wie es in diesem Board empfohlen wird das Tool HijackThis gezogen, habe allerdings von diese Materie null Ahnung, deshalb wäre ich über eine Hilfe sehr dankbar. |
04.10.2007, 19:55 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Brauche Hilfe gegen Trojan.KillAV Hallo.
__________________Zitat:
Deine Symptome deuten auf den Zlob/smitfraud hin, acker mal diese Anleitung ab - poste danach das Logfile des Removaltools sowie ein Hijackthis-Logfile. Link dazu findest du in meiner Signatur.
__________________ |
04.10.2007, 22:21 | #3 |
| Brauche Hilfe gegen Trojan.KillAV Hallo cosinus,
__________________erstmal vielen Dank für Deine Hilfe. Ich habe mir SmitfraudFix runtergeladen und nach Anweisung durchgearbeitet. Also erstmal gescannt und dann im abgesicherten Modus von XP gereinigt. Leider hat es nicht wirklich geholfen. Der Virus will immer noch auf die bestimmten Seiten. Allerdings hat die aggressivität etwas nachgelassen. Kling vielleicht blöd, aber er fragt mich nicht mehr so häufig mit den Fehlermeldungen (oder kommt mir das nur so vor?). Vor allem ist mir aufgefallen (das ist vorhin auch schon so gewesen), dass man irgendwann nicht mehr bei Windows>Start zur Systemsteuerung gelangt, der Menüpunkt ist einfach weg. Aber gut, nun hier meine rapport.txt SmitFraudFix v2.237 Scan done at 22:41:40,34, 04.10.2007 Run from C:\Downloads\Virentools\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 192.168.200.3 ad.doubleclick.net 192.168.200.3 ad.fastclick.net 192.168.200.3 ads.fastclick.net 192.168.200.3 ar.atwola.com 192.168.200.3 atdmt.com 192.168.200.3 avp.ch 192.168.200.3 avp.com 192.168.200.3 avp.ru 192.168.200.3 awaps.net 192.168.200.3 banner.fastclick.net 192.168.200.3 banners.fastclick.net 192.168.200.3 ca.com 192.168.200.3 click.atdmt.com 192.168.200.3 clicks.atdmt.com 192.168.200.3 customer.symantec.com 192.168.200.3 dispatch.mcafee.com 192.168.200.3 download.mcafee.com 192.168.200.3 downloads-us1.kaspersky-labs.com 192.168.200.3 downloads-us2.kaspersky-labs.com 192.168.200.3 downloads-us3.kaspersky-labs.com 192.168.200.3 downloads1.kaspersky-labs.com 192.168.200.3 downloads2.kaspersky-labs.com 192.168.200.3 downloads3.kaspersky-labs.com 192.168.200.3 downloads4.kaspersky-labs.com 192.168.200.3 engine.awaps.net 192.168.200.3 f-secure.com 192.168.200.3 fastclick.net 192.168.200.3 ftp.avp.ch 192.168.200.3 ftp.downloads1.kaspersky-labs.com 192.168.200.3 ftp.downloads2.kaspersky-labs.com 192.168.200.3 ftp.downloads3.kaspersky-labs.com 192.168.200.3 ftp.f-secure.com 192.168.200.3 ftp.kasperskylab.ru 192.168.200.3 ftp.sophos.com 192.168.200.3 ids.kaspersky-labs.com 192.168.200.3 kaspersky-labs.com 192.168.200.3 kaspersky.com 192.168.200.3 liveupdate.symantec.com 192.168.200.3 liveupdate.symantecliveupdate.com 192.168.200.3 mast.mcafee.com 192.168.200.3 mcafee.com 192.168.200.3 media.fastclick.net 192.168.200.3 my-etrust.com 192.168.200.3 nai.com 192.168.200.3 networkassociates.com 192.168.200.3 norton.com 192.168.200.3 phx.corporate-ir.net 192.168.200.3 rads.mcafee.com 192.168.200.3 secure.nai.com 192.168.200.3 securityresponse.symantec.com 192.168.200.3 service1.symantec.com 192.168.200.3 sophos.com 192.168.200.3 spd.atdmt.com 192.168.200.3 symantec.com 192.168.200.3 trendmicro.com 192.168.200.3 update.symantec.com 192.168.200.3 updates.symantec.com 192.168.200.3 updates1.kaspersky-labs.com 192.168.200.3 updates2.kaspersky-labs.com 192.168.200.3 updates3.kaspersky-labs.com 192.168.200.3 updates4.kaspersky-labs.com 192.168.200.3 updates5.kaspersky-labs.com 192.168.200.3 us.mcafee.com 192.168.200.3 vil.nai.com 192.168.200.3 viruslist.com 192.168.200.3 viruslist.ru 192.168.200.3 virusscan.jotti.org 192.168.200.3 virustotal.com 192.168.200.3 www.avp.ch 192.168.200.3 www.avp.com 192.168.200.3 www.avp.ru 192.168.200.3 www.awaps.net 192.168.200.3 www.ca.com 192.168.200.3 www.f-secure.com 192.168.200.3 www.fastclick.net 192.168.200.3 www.grisoft.com 192.168.200.3 www.kaspersky-labs.com 192.168.200.3 www.kaspersky.com 192.168.200.3 www.kaspersky.ru 192.168.200.3 www.mcafee.com 192.168.200.3 www.my-etrust.com 192.168.200.3 www.nai.com 192.168.200.3 www.networkassociates.com 192.168.200.3 www.sophos.com 192.168.200.3 www.symantec.com 192.168.200.3 www.symantec.com 192.168.200.3 www.trendmicro.com 192.168.200.3 www.viruslist.com 192.168.200.3 www.viruslist.ru 192.168.200.3 www.virustotal.com 192.168.200.3 www3.ca.com »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\printer.exe Deleted C:\WINDOWS\system32\WinAvXX.exe Deleted C:\DOKUME~1\ADMINI~1\STARTM~1\PROGRA~1\AUTOST~1\system.exe Deleted C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\autorun.exe Deleted »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{E3B4A54D-0B2F-4D0D-B00C-60C9C741B3DD}: NameServer=192.168.122.252,192.168.122.253 HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7B44B18-2F7A-4650-BAE2-BA231F9D1C91}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{E3B4A54D-0B2F-4D0D-B00C-60C9C741B3DD}: NameServer=192.168.122.252,192.168.122.253 HKLM\SYSTEM\CS1\Services\Tcpip\..\{F7B44B18-2F7A-4650-BAE2-BA231F9D1C91}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{E3B4A54D-0B2F-4D0D-B00C-60C9C741B3DD}: NameServer=192.168.122.252,192.168.122.253 HKLM\SYSTEM\CS2\Services\Tcpip\..\{F7B44B18-2F7A-4650-BAE2-BA231F9D1C91}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Ich hoffe, es gibt noch andere Lösungen, ohne das System neu aufsetzen zu müssen. Das wäre echt klasse |
04.10.2007, 22:33 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Brauche Hilfe gegen Trojan.KillAV Was du schonmal auf jeden Fall machen kannst, ist die hosts-Datei zu editieren. Lösche alle Zeilen außer dem Localhost oder ersetze sie einfach durch dieses hosts-file. Du findest sie unter [c:\windows\system32\drivers\etc] Poste bitte auch noch das Hijackthis-Logfile. Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScanUnd mach bitte ein Filelist: 1. Lade das filelist.zip auf deinen Desktop herunter.
__________________ Logfiles bitte immer in CODE-Tags posten |
05.10.2007, 00:35 | #5 |
| Brauche Hilfe gegen Trojan.KillAV OK a) die hosts-Datei habe ich ersetzt b) hier sind meine Hijackthis-Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:52:49, on 04.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alertic.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\TBPanel.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\system.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJackThis\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [SRUUninstall] "C:\WINDOWS\system32\msiexec.exe" /L*v C:\WINDOWS\TEMP\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [SRUUninstall] "C:\WINDOWS\system32\msiexec.exe" /L*v C:\WINDOWS\TEMP\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Startup: system.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe O4 - Global Startup: autorun.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: lyra2.profimailer.de O17 - HKLM\System\CCS\Services\Tcpip\..\{E3B4A54D-0B2F-4D0D-B00C-60C9C741B3DD}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\lexware\Haufe\HaufeReader\HRInstmon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe -- End of file - 10565 bytes c) die beiden Tools habe ich mir runtergeladen d) ich habe mit eScan begonnen, allerdings nach 40 min erstmal abgebrochen. Ich werde es morgen fortsetzen und mich dann nochmal melden. Bin aber morgen Vormittag erstmal unterwegs, wird warscheinlich eher Mittag. Aber die positive Nachricht: eScan hat schon 9 infizierte Dateien gefunden (das lässt ja hoffen). Bis morgen |
05.10.2007, 08:14 | #6 |
| Brauche Hilfe gegen Trojan.KillAV hallo erstmal, hab mich gerade registriert, weil ich genau dieses problem mit der virusschlacht seit dem wochenende auch habe. ich bekomme immer diese meldung mit dem windows security alert und als ich am samstag wegklicken wollte, kam ich auf die seite mit der virusschlacht. danach habe ich folgendes gemacht: - systemwiederherstellungen deaktiviert - rechner im abgesicherten modus hochgefahren - spybot & ad-aware laufen lassen - hijackthis logfile erstellt & online ausgewertet es wird eigentlich nichts mehr angezeigt, aber diese meldung kommt immer noch. außerdem hab ich probleme mit google. wenn ich etwas suche und dann auf das ergebnis klicke, werde ich auf diese seite weitergeleitet: http://201.218.196.152/click.php?c=370Q8f220c7806c26f4005&r=1 ich muss dann immer auf zurück klicken und dann wieder auf das suchergebnis, bis ich dann wirklich auf meine gesuchte seite komme. ich muss vorher noch sagen, dass ich mich nicht besonders gut auskenne und die ganzen massnahmen oben nach anleitung gemacht habe danke im voraus |
05.10.2007, 12:02 | #7 |
| Brauche Hilfe gegen Trojan.KillAV @UneeQ, bei mir funktioniert noch nicht einmal das „Systemwiederherstellungen deaktiviert“. Zumindest, die mir bekannte Möglichkeit (rechte Maustaste auf Arbeitsplatz > Eigenschaften...). @ cosinus ich bin jetzt wieder zurück und werde jetzt den eScan laufen lassen. Ich melde mich nachher mit dem Ergebnis. Übrigens seit heute versucht er sich zwar immer wieder auf die entsprechenden Seiten einzuwählen, aber es kommt oft nur eine leere Website mit der Info: „unable to connet to db“ |
05.10.2007, 14:00 | #8 |
| Brauche Hilfe gegen Trojan.KillAV @UneeQ: Bitte erstelle ein eigenes Thema für Dich, damit Dir geholfen werden kann. Und mein erster Tip: führe auch das SmitfraudFix-Programm durch, genauso, wie unten für Hektor beschrieben: http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html Falls danach noch Probleme sind, wie gesagt, mache ein eigenes Thema auf. |
05.10.2007, 17:22 | #9 |
| Brauche Hilfe gegen Trojan.KillAV sorry, hat ein wenig gedauert der eScan. Hier das Ergebnis: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.4 Sprache: German Virus-Datenbank Datum: 10/3/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\printer.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\WinAvXX.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\WinAvXX.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\system.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\autorun.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\printer.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\WinAvXX.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\system.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\autorun.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\system.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\*\Startmenü\Programme\Autostart\system.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\**\Startmenü\Programme\Autostart\system.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\**\Startmenü\Programme\Autostart\Uninstall0.exe infiziert von "Packed.Win32.Klone.ae" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\HP\Memories Disc\skins\HewlettPackard_0002\skingen\MEMDISC\PROVIDED\RETAILPF\SETUP.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP744\A0141237.exe infiziert von "Packed.Win32.Klone.ae" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP744\A0141238.exe infiziert von "Packed.Win32.Klone.ae" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP744\A0141239.exe infiziert von "Trojan.Win32.DNSChanger.du" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP765\A0146236.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP767\A0146942.exe//PE-Crypt.PolyCryptA infiziert von "Trojan.Win32.DNSChanger.fb" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148917.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148918.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148919.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148932.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148933.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148934.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148948.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148949.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148950.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148959.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148960.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148967.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148968.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148969.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0148996.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0148997.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0148998.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0148999.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149030.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149031.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149038.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149039.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149040.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149054.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149055.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149056.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149078.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149088.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149089.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149090.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\drivers\etc\hosts infiziert von "Trojan.Win32.Qhost.my" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\printer.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\WinAvXX.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Downloads\Virentools\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Downloads\Virentools\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LCPAF4T\hdrsetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LCPAF4T\hdrsetup[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.doubleclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ads.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ar.atwola.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ch C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 awaps.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banner.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banners.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ca.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 click.atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 clicks.atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 customer.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 dispatch.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads4.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 engine.awaps.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 f-secure.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.avp.ch C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.f-secure.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.kasperskylab.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.sophos.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 go.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ids.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantecliveupdate.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mast.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 media.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 msdn.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 my-etrust.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 networkassociates.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 norton.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 office.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 pandasoftware.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 phx.corporate-ir.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 rads.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 secure.nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 securityresponse.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 service1.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 sophos.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 spd.atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 support.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 trendmicro.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 update.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates4.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates5.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 us.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 vil.nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 windowsupdate.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ch C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.awaps.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.ca.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.f-secure.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.grisoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.my-etrust.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.networkassociates.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.pandasoftware.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.sophos.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.trendmicro.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.virustotal.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www3.ca.com ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 264601 Gefundene Viren: 54 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 124 Dauer des Scans bisher: 03:41:35 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 17:29:57,53 Batchende: 17:30:19,21 Auf meinem Rechner sind drei User angelegt. Ich habe die Usernamen mit * geschrieben, aber damit man ein unterschied sieht: User 1 = * User 2 = ** User 3 = *** ich hoffe, dass war so richtig. |
05.10.2007, 17:24 | #10 |
| Brauche Hilfe gegen Trojan.KillAV so nun noch die Ergebnisse vom Filelist.bat: Verzeichnis von C:\ 05.10.2007 17:35 536.399.872 hiberfil.sys 05.10.2007 17:35 805.306.368 pagefile.sys 05.10.2007 16:51 0 23990098.$$$ 04.10.2007 22:45 5.442 rapport.txt Verzeichnis von C:\WINDOWS\system32 04.10.2007 22:41 3.866 tmp.reg 04.10.2007 22:41 0 tmp.txt 04.10.2007 20:24 13.646 wpa.dbl 04.10.2007 10:56 29 grprtprp.tmp 04.10.2007 09:59 7.680 printer.exe 04.10.2007 09:59 7.680 WinAvXX.exe 01.10.2007 21:14 77.824 alertic.exe 30.09.2007 18:23 336.120 FNTCACHE.DAT 23.09.2007 18:26 9.293 rundll32.exe.Z-missing.txt 21.09.2007 22:44 60.800 S32EVNT1.DLL 21.09.2007 20:02 100 LuResult.txt 08.09.2007 09:07 34.304 NTSVC.ocx Verzeichnis von C:\WINDOWS 05.10.2007 17:42 1.324.981 WindowsUpdate.log 05.10.2007 17:36 0 0.log 05.10.2007 17:36 156 wiadebug.log 05.10.2007 17:36 50 wiaservc.log 05.10.2007 17:35 2.048 bootstat.dat 05.10.2007 13:08 26 Lic.xxx 05.10.2007 13:05 401.392 ntbtlog.txt 05.10.2007 13:03 32.574 SchedLgU.Txt 05.10.2007 12:25 51 iTouch.ini 05.10.2007 00:32 756 win.ini 04.10.2007 22:44 184.628 setupact.log 04.10.2007 11:28 113.152 mteadea.exe 04.10.2007 10:55 12.288 mraerea.exe 04.10.2007 10:00 10 548831127 01.10.2007 21:14 77.824 903765 29.09.2007 00:19 59.904 791046 28.09.2007 12:22 1.409 QTFont.for 28.09.2007 12:22 54.156 QTFont.qfn 21.09.2007 23:16 672.883 setupapi.log 21.09.2007 19:58 4.650 iis6.log 21.09.2007 19:58 26.771 comsetup.log 21.09.2007 19:58 1.374 imsins.log 21.09.2007 19:58 3.091 ocmsn.log 21.09.2007 19:58 15.939 ntdtcsetup.log 21.09.2007 19:58 23.784 tsoc.log 21.09.2007 19:58 9.742 KB893803v2.log 21.09.2007 19:58 3.103 msgsocm.log 21.09.2007 19:58 45.049 ocgen.log 21.09.2007 19:58 42.460 FaxSetup.log 21.09.2007 19:57 730 avmcoins.log 21.09.2007 14:33 107 avmsysnet.log 21.09.2007 14:07 2.431 avmadd32.log 08.09.2007 09:07 34.304 876000 Verzeichnis von C:\WINDOWS\Prefetch 05.10.2007 17:51 10.202 FIND.EXE-0EC32F1E.pf 05.10.2007 17:51 10.084 CMD.EXE-087B4001.pf 05.10.2007 17:51 17.020 WINZIP32.EXE-335422C1.pf 05.10.2007 17:49 29.228 AUPDATE.EXE-089630E1.pf 05.10.2007 17:49 116.206 LUCOMS~1.EXE-02DB5950.pf 05.10.2007 17:49 82.696 LUCALLBACKPROXY.EXE-0B5F632D.pf 05.10.2007 17:41 10.438 HPZIPM12.EXE-145E7369.pf 05.10.2007 17:41 113.512 IEXPLORE.EXE-2CA9778D.pf 05.10.2007 17:41 98.678 ACRODIST.EXE-31C6F71B.pf 05.10.2007 17:41 6.620 SYMLCSVC.EXE-04DC2DC5.pf 05.10.2007 17:41 8.062 SYMLCSV1.EXE-15097EE1.pf 05.10.2007 17:40 66.710 FNPLICENSINGSERVICE.EXE-1A968544.pf 05.10.2007 17:40 27.256 STCENTER.EXE-2DCE9FDD.pf 05.10.2007 17:40 8.836 SYSTEM.EXE-16AC2AAA.pf 05.10.2007 17:40 49.212 WUAUCLT.EXE-399A8E72.pf 05.10.2007 17:40 19.596 FWEBPROT.EXE-039316ED.pf 05.10.2007 17:40 15.936 OSA.EXE-1A10C40B.pf 05.10.2007 17:40 5.444 INSTLSP.EXE-20F3E0E7.pf 05.10.2007 17:40 20.826 HPQTRA08.EXE-1DCE361D.pf 05.10.2007 17:40 37.178 WMIPRVSE.EXE-28F301A9.pf 05.10.2007 17:40 26.504 ADOBECOLLABSYNC.EXE-0ECA1241.pf 05.10.2007 17:40 34.992 HPTSKMGR.EXE-00829595.pf 05.10.2007 17:40 7.466 AUTORUN.EXE-1876A85F.pf 05.10.2007 17:40 21.626 SVCHOST.EXE-3530F672.pf 05.10.2007 17:40 13.506 ACROBAT_SL.EXE-06BB2385.pf 05.10.2007 17:40 7.804 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf 05.10.2007 17:40 13.922 HPOSM.EXE-27BA0BA0.pf 05.10.2007 17:40 14.806 CTFMON.EXE-0E17969B.pf 05.10.2007 17:40 18.666 EM_EXEC.EXE-1D53AFF5.pf 05.10.2007 17:40 10.042 ACROTRAY.EXE-0DA18080.pf 05.10.2007 17:40 13.328 WINAVXX.EXE-050EF48B.pf 05.10.2007 17:40 17.334 IPODSERVICE.EXE-233792DA.pf 05.10.2007 17:40 26.206 CCAPP.EXE-2EA3695D.pf 05.10.2007 17:40 16.480 APDPROXY.EXE-1A011AF2.pf 05.10.2007 17:40 8.178 QTTASK.EXE-2D7EEF34.pf 05.10.2007 17:40 13.152 ITUNESHELPER.EXE-08906EB7.pf 05.10.2007 17:40 11.638 VERSIONCUECS2TRAY.EXE-18436C16.pf 05.10.2007 17:40 15.912 PIFSVC.EXE-29FA40EF.pf 05.10.2007 17:40 12.870 RUNDLL32.EXE-383267D7.pf 05.10.2007 17:40 16.792 ITOUCH.EXE-37A5852C.pf 05.10.2007 17:40 9.856 OSCHECK.EXE-0057FF98.pf 05.10.2007 17:40 18.406 LOGI_MWX.EXE-1B741F45.pf 05.10.2007 17:40 5.764 NEROCHECK.EXE-092C6DFA.pf 05.10.2007 17:40 9.110 SOUNDMAN.EXE-19745A34.pf 05.10.2007 17:40 7.754 NWIZ.EXE-2D0F9FBC.pf 05.10.2007 17:40 21.294 RUNDLL32.EXE-1EFB9777.pf 05.10.2007 17:40 22.410 ALG.EXE-0F138680.pf 05.10.2007 17:40 11.586 TBPANEL.EXE-1A02BF0D.pf 05.10.2007 17:40 18.608 HPCMPMGR.EXE-37F8BF19.pf 05.10.2007 17:40 19.242 IMAPI.EXE-0BF740A4.pf 05.10.2007 17:40 21.200 HPWUSCHD.EXE-210DB070.pf 05.10.2007 17:40 12.610 ALERTIC.EXE-1EE893E8.pf 05.10.2007 17:40 6.688 WDFMGR.EXE-2CF4013B.pf 05.10.2007 17:40 17.794 RUNDLL32.EXE-2164E410.pf 05.10.2007 17:40 631.628 NTOSBOOT-B00DFAAD.pf 05.10.2007 13:03 16.672 LOGONUI.EXE-0AF22957.pf 05.10.2007 12:42 15.608 NOTEPAD.EXE-336351A9.pf 05.10.2007 12:41 34.350 WINWORD.EXE-0AEA99D4.pf 05.10.2007 12:41 45.174 NAVW32.EXE-20C61389.pf 05.10.2007 12:25 15.616 PRINTER.EXE-0E099EB1.pf 05.10.2007 12:25 79.906 USERINIT.EXE-30B18140.pf 05.10.2007 12:25 140.304 EXPLORER.EXE-082F38A9.pf 05.10.2007 12:22 38.628 ACROBATINFO.EXE-2A08175E.pf 05.10.2007 12:16 12.194 UNINSTALL0.EXE-3B6FED12.pf 05.10.2007 12:16 7.434 SYSTEM.EXE-2F959615.pf 05.10.2007 12:04 23.526 DWWIN.EXE-30875ADC.pf 05.10.2007 12:04 44.744 DUMPREP.EXE-1B46F901.pf 05.10.2007 12:04 18.046 TASKMGR.EXE-20256C55.pf 05.10.2007 11:58 7.464 SYSTEM.EXE-0B2EDD87.pf 05.10.2007 11:46 5.236 LOGON.SCR-151EFAEA.pf 05.10.2007 11:32 15.618 HPZENG09.EXE-21FF5F4F.pf 05.10.2007 11:31 15.582 HPZSTC09.EXE-3AFDDA16.pf 05.10.2007 11:10 19.592 HPDARC.EXE-25DD680A.pf 05.10.2007 11:08 47.874 PHOTODOWNLOADER.EXE-0604425C.pf 05.10.2007 10:44 163.190 Layout.ini 05.10.2007 09:46 23.552 SSAUTORN.EXE-26BC4D68.pf 05.10.2007 00:20 30.060 RUNDLL32.EXE-1B5303FF.pf 21.09.2007 19:20 6.944 SYMWSCNO.EXE-03D87CDD.pf 21.09.2007 19:18 22.440 MSMSGS.EXE-32066BA5.pf 21.09.2007 18:36 23.542 NDETECT.EXE-38C3701D.pf Verzeichnis von C:\WINDOWS\tasks 05.10.2007 17:35 6 SA.DAT 21.09.2007 22:37 572 Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - Chef.job Verzeichnis von C:\WINDOWS\temp 05.10.2007 17:36 32.768 ~DF37AE.tmp 05.10.2007 09:26 32.768 ~DFC31D.tmp 05.10.2007 01:13 32.768 ~DFC341.tmp 04.10.2007 22:48 32.768 ~DFD7B7.tmp 04.10.2007 18:11 32.768 ~DFDAE7.tmp 04.10.2007 16:52 32.768 ~DFE947.tmp 04.10.2007 12:08 32.768 ~DF3EE4.tmp 04.10.2007 11:15 32.768 ~DF5A6B.tmp 22.09.2007 15:33 0 ib4111 22.09.2007 15:33 0 ib4110 22.09.2007 15:33 0 ib4109 22.09.2007 00:49 0 ib4108 22.09.2007 00:49 0 ib4107 22.09.2007 00:49 0 ib4106 21.09.2007 22:58 0 ib4105 21.09.2007 22:58 0 ib4104 21.09.2007 22:58 0 ib4103 21.09.2007 22:46 1.575 Norton_SPALOG_9_21_2007_11885125.txt 21.09.2007 22:46 4.014 SRTSP_Setup_10.2.1.8.log 21.09.2007 22:46 359.208 SRTSP_MSI_U_(1)10.0.0.115.log 21.09.2007 22:45 6.737 srtUnin.log 21.09.2007 22:44 455.368 SRTSP_MSI_I_10.2.1.8.log 21.09.2007 22:44 17.454 SYMEVENT.LOG 21.09.2007 22:42 1.659 Norton_SPALOG_9_21_2007_11878125.txt 21.09.2007 19:26 0 ib4102 21.09.2007 19:26 0 ib4101 21.09.2007 19:26 0 ib4100 21.09.2007 17:52 0 ib4099 21.09.2007 17:52 0 ib4098 21.09.2007 17:52 0 ib4097 21.09.2007 13:53 0 ib4096 21.09.2007 13:53 0 ib4095 21.09.2007 13:53 0 ib4094 21.09.2007 12:59 0 ib4093 21.09.2007 12:58 0 ib4092 21.09.2007 12:58 0 ib4091 20.09.2007 17:09 0 ib4090 20.09.2007 17:09 0 ib4089 20.09.2007 17:09 0 ib4088 20.09.2007 09:07 0 ib4087 20.09.2007 09:07 0 ib4086 20.09.2007 09:07 0 ib4085 19.09.2007 20:22 0 ib4084 19.09.2007 20:22 0 ib4083 19.09.2007 20:22 0 ib4082 19.09.2007 15:19 0 ib4081 19.09.2007 15:19 0 ib4080 19.09.2007 15:19 0 ib4079 19.09.2007 09:31 0 ib4078 19.09.2007 09:31 0 ib4077 19.09.2007 09:31 0 ib4076 18.09.2007 20:17 0 ib4075 18.09.2007 20:17 0 ib4074 18.09.2007 20:17 0 ib4073 18.09.2007 18:55 0 ib4072 18.09.2007 18:55 0 ib4071 18.09.2007 18:55 0 ib4070 18.09.2007 14:24 0 ib4069 18.09.2007 14:24 0 ib4068 18.09.2007 14:24 0 ib4067 18.09.2007 09:53 0 ib4066 18.09.2007 09:53 0 ib4065 18.09.2007 09:53 0 ib4064 17.09.2007 17:21 0 ib4063 17.09.2007 17:21 0 ib4062 17.09.2007 17:21 0 ib4061 17.09.2007 09:19 0 ib4060 17.09.2007 09:19 0 ib4059 17.09.2007 09:19 0 ib4058 16.09.2007 18:53 0 ib4057 16.09.2007 18:53 0 ib4056 16.09.2007 18:53 0 ib4055 15.09.2007 23:31 0 ib4054 15.09.2007 23:31 0 ib4053 15.09.2007 23:31 0 ib4052 15.09.2007 18:58 0 ib4051 15.09.2007 18:58 0 ib4050 15.09.2007 18:58 0 ib4049 15.09.2007 16:07 0 ib4048 15.09.2007 16:06 0 ib4047 15.09.2007 16:06 0 ib4046 14.09.2007 17:18 0 ib4045 14.09.2007 17:18 0 ib4044 14.09.2007 17:18 0 ib4043 13.09.2007 21:51 0 ib4042 13.09.2007 21:50 0 ib4041 13.09.2007 21:50 0 ib4040 13.09.2007 15:39 0 ib4039 13.09.2007 15:39 0 ib4038 13.09.2007 15:39 0 ib4037 13.09.2007 10:00 0 ib4036 13.09.2007 09:59 0 ib4035 13.09.2007 09:59 0 ib4034 12.09.2007 16:28 0 ib4033 12.09.2007 16:28 0 ib4032 12.09.2007 16:28 0 ib4031 12.09.2007 09:00 0 ib4030 12.09.2007 08:59 0 ib4029 12.09.2007 08:59 0 ib4028 11.09.2007 22:31 0 ib4027 11.09.2007 22:31 0 ib4026 11.09.2007 22:31 0 ib4025 11.09.2007 16:04 0 ib4024 11.09.2007 16:04 0 ib4023 11.09.2007 16:04 0 ib4022 11.09.2007 09:17 0 ib4021 11.09.2007 09:17 0 ib4020 11.09.2007 09:17 0 ib4019 10.09.2007 23:55 0 ib4018 10.09.2007 23:55 0 ib4017 10.09.2007 23:55 0 ib4016 10.09.2007 19:05 0 ib4015 10.09.2007 19:05 0 ib4014 10.09.2007 19:05 0 ib4013 10.09.2007 09:47 0 ib4012 10.09.2007 09:47 0 ib4011 10.09.2007 09:47 0 ib4010 09.09.2007 22:19 0 ib4009 09.09.2007 22:19 0 ib4008 09.09.2007 22:19 0 ib4007 09.09.2007 18:42 0 ib4006 09.09.2007 18:42 0 ib4005 09.09.2007 18:42 0 ib4004 09.09.2007 10:04 0 ib4003 09.09.2007 10:04 0 ib4002 09.09.2007 10:04 0 ib4001 07.09.2007 15:18 0 ib4000 07.09.2007 15:18 0 ib3999 07.09.2007 15:17 0 ib3998 06.09.2007 22:23 0 ib3997 06.09.2007 22:23 0 ib3996 06.09.2007 22:23 0 ib3995 06.09.2007 18:49 0 ib3994 06.09.2007 18:49 0 ib3993 06.09.2007 18:49 0 ib3992 06.09.2007 15:18 0 ib3991 06.09.2007 15:18 0 ib3990 06.09.2007 15:18 0 ib3989 05.09.2007 21:58 0 ib3988 05.09.2007 21:58 0 ib3987 05.09.2007 21:58 0 ib3986 05.09.2007 18:57 0 ib3985 05.09.2007 18:57 0 ib3984 05.09.2007 18:57 0 ib3983 05.09.2007 10:11 0 ib3982 05.09.2007 10:11 0 ib3981 05.09.2007 10:11 0 ib3980 04.09.2007 22:55 0 ib3979 04.09.2007 22:55 0 ib3978 04.09.2007 22:55 0 ib3977 04.09.2007 17:16 0 ib3976 04.09.2007 17:16 0 ib3975 04.09.2007 17:16 0 ib3974 04.09.2007 11:59 0 ib3973 04.09.2007 11:59 0 ib3972 04.09.2007 11:59 0 ib3971 Verzeichnis von C:\DOKUME~1\*\LOKALE~1\Temp 05.10.2007 17:51 300.724 filelist.txt 05.10.2007 17:40 49.152 ~DF3FF.tmp 05.10.2007 12:25 49.152 ~DF5B3B.tmp Meine Hoffnungen liegen nun bei Euch |
05.10.2007, 22:09 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Brauche Hilfe gegen Trojan.KillAV Oh das wird ein Stück Arbeit werden, falls sich die Bereinigung überhaupt noch lohnt! Dein System besteht zu einem großen teil bereits aus Malware. Werte zuerst mal diese Dateien bei Virustotal aus und poste die Ergebnisse: Code:
ATTFilter C:\WINDOWS\System32\alertic.exe C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\system.exe
__________________ Logfiles bitte immer in CODE-Tags posten |
06.10.2007, 13:40 | #12 |
| Brauche Hilfe gegen Trojan.KillAV Hallo cosinus, ich habe jetzt mal beide Dateien von Virustotal scannen lassen, allerdings müsstest Du mir noch sagen, wie ich das Ergebnis posten soll. Ich hatte von beiden Ergebnissen PDF-Files gemacht, sind aber größer als die zugelassenen 19,5 kb. Sorry, bin mit Euren Routinen noch nicht so vertraut. |
06.10.2007, 13:42 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Brauche Hilfe gegen Trojan.KillAV Einfach per copy & paste...
__________________ Logfiles bitte immer in CODE-Tags posten |
06.10.2007, 14:35 | #14 |
| Brauche Hilfe gegen Trojan.KillAV ok, dann versuche ich es mal... Datei alertic.exe empfangen 2007.10.06 14:09:45 (CET) Status: Beendet Ergebnis: 5/32 (15.63%) AhnLab-V3 2007.10.6.0 2007.10.05 - AntiVir 7.6.0.20 2007.10.05 TR/Agent.77824.30 Authentium 4.93.8 2007.10.05 - Avast 4.7.1051.0 2007.10.05 - AVG 7.5.0.488 2007.10.06 - BitDefender 7.2 2007.10.06 - CAT-QuickHeal 9.00 2007.10.06 - ClamAV 0.91.2 2007.10.06 - DrWeb 4.44.0.09170 2007.10.06 Trojan.Fakealert.343 eSafe 7.0.15.0 2007.10.04 - eTrust-Vet 31.2.5190 2007.10.06 - Ewido 4.0 2007.10.06 - FileAdvisor 1 2007.10.06 - Fortinet 3.11.0.0 2007.10.06 - F-Prot 4.3.2.48 2007.10.05 - F-Secure 6.70.13030.0 2007.10.05 - Ikarus T3.1.1.12 2007.10.06 Trojan- Downloader.Win32.VB.azq Kaspersky 7.0.0.125 2007.10.06 - McAfee 5135 2007.10.05 - Microsoft 1.2908 2007.10.06 - NOD32v2 2575 2007.10.06 - Norman 5.80.02 2007.10.05 - Panda 9.0.0.4 2007.10.06 - Prevx1 V2 2007.10.06 - Rising 19.43.50.00 2007.10.06 - Sophos 4.22.0 2007.10.06 - Sunbelt 2.2.907.0 2007.10.06 - Symantec 10 2007.10.06 - TheHacker 6.2.6.078 2007.10.06 Trojan/FakeAlert.gen VBA32 3.12.2.4 2007.10.05 - VirusBuster 4.3.26:9 2007.10.05 - Webwasher- Gateway 6.0.1 2007.10.05 Trojan.Agent.77824.30 Datei system.exe empfangen 2007.10.06 14:20:03 (CET) Status: Beendet Ergebnis: 19/32 (59.38%) AhnLab-V3 2007.10.6.0 2007.10.05 - AntiVir 7.6.0.20 2007.10.05 TR/Crypt.ULPM.Gen Authentium 4.93.8 2007.10.05 Possibly a new variant of W32/Fathom.3-based!Maximus Avast 4.7.1051.0 2007.10.05 - AVG 7.5.0.488 2007.10.06 SHeur.QNE BitDefender 7.2 2007.10.06 Trojan.Peed.JZ CATQuickHeal 9.00 2007.10.06 Trojan.Qhost.pg ClamAV 0.91.2 2007.10.06 Trojan.Small-4148 DrWeb 4.44.0.09170 2007.10.06 - eSafe 7.0.15.0 2007.10.04 Win32.Qhost.pg eTrust-Vet 31.2.5190 2007.10.06 Win32/Qhosts.AZ Ewido 4.0 2007.10.06 - FileAdvisor 1 2007.10.06 - Fortinet 3.11.0.0 2007.10.06 W32/NUCRP!worm F-Prot 4.3.2.48 2007.10.05 W32/Fathom.3-based!Maximus F-Secure 6.70.13030.0 2007.10.05 Trojan.Win32.Qhost.pg Ikarus T3.1.1.12 2007.10.06 Virus.Trojan.Win32.Qhost.pg Kaspersky 7.0.0.125 2007.10.06 Trojan.Win32.Qhost.pg McAfee 5135 2007.10.05 New Malware.bc Microsoft 1.2908 2007.10.06 - NOD32v2 2575 2007.10.06 - Norman 5.80.02 2007.10.05 - Panda 9.0.0.4 2007.10.06 Adware/WinAntiVirus2007 Prevx1 V2 2007.10.06 Spyware.WinAntiVirus Rising 19.43.50.00 2007.10.06 - Sophos 4.22.0 2007.10.06 Mal/HckPk-A Sunbelt 2.2.907.0 2007.10.06 - Symantec 10 2007.10.06 - TheHacker 6.2.6.078 2007.10.06 Trojan/Qhost.pg VBA32 3.12.2.4 2007.10.05 - VirusBuster 4.3.26:9 2007.10.05 - Webwasher- Gateway 6.0.1 2007.10.05 Trojan.Crypt.ULPM.Gen |
06.10.2007, 15:00 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Brauche Hilfe gegen Trojan.KillAV Deaktiviere die Systemwiederherstellung. Danach müssen einige Dateien gelöscht werden, geh dazu so vor: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code:
ATTFilter Files to delete: C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\system.exe C:\WINDOWS\mteadea.exe C:\WINDOWS\mraerea.exe C:\WINDOWS\548831127 C:\WINDOWS\903765 C:\WINDOWS\791046 C:\WINDOWS\QTFont.for C:\WINDOWS\QTFont.qfn C:\WINDOWS\876000 C:\WINDOWS\System32\alertic.exe C:\WINDOWS\System32\tmp.reg C:\WINDOWS\System32\tmp.txt C:\WINDOWS\System32\grprtprp.tmp C:\WINDOWS\System32\printer.exe C:\WINDOWS\System32\WinAvXX.exe C:\WINDOWS\System32\FNTCACHE.DAT C:\WINDOWS\System32\rundll32.exe.Z-missing.txt C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\autorun.exe C:\Dokumente und Einstellungen\**\Startmenü\Programme\Autostart\Uninstall0.exe 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. 6.) Noch mal die Hosts-Datei mit meiner hosts-Datei ersetzen 7.) Dieses CMD-script herunterladen und ausführen. Die erzeugte "listing.txt" aufm Desktop z.B. bei File-Upload oder Rapidshare hochladen und verlinken. 8.) Silentrunners-Logfile posten.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Brauche Hilfe gegen Trojan.KillAV |
antivirus, brauche hilfe, computer, download, folge, hijack, hijackthis, home, internet-explorer, internetseite, nicht mehr, opera, rechner, rechtsklick, scan, security, seite, seiten, spyware, symantec, system, tool, trojan.killav, virus, windows xp, öffnet |