Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Brauche Hilfe gegen Trojan.KillAV

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.10.2007, 19:33   #1
Hektor
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



Bei mir hat sich heute der Virus Trojan.KillAV eingeschlichen, obwohl ich Norton Antivirus mit laufenden Auto-Protect im Einsatz habe und erst vor ein paar Tagen Norton auf den neusten Stand durch ein LiveUpdate gebracht habe.

Der Virus macht sich dadurch bemerkbar, dass er den Internet-Explorer lauft ungefragt öffnet und folgende Fehlermeldungen bringt, wie z.B.:

Windows Security Alert
Warning! Potential Spyware Operation!
Your computer is making unauthorized copies of your system and internet files. Run full scan now to pevert any unathoried access to your files! Click YES to download spyware remover...

Nach dem man dann Nein klickt, kommt man auf Seite wie z.B:

H**p://festplattenreiniger.com/...
H**p://virusschlacht.com/...
Etc.

Zudem werden alle Internetseiten von den entsprechenden Sicherheitsfirmen (z.B. symantec, mcaffee, etc.) blockiert. Außerdem kann ich in der Windows-Systemsteuerung trotz Admin-Account nicht mehr auf die Internetoptionen zugreifen und auch der Zugriff beim Rechtsklick bei Arbeitplatz auf die Eigenschaften wird verweigert. Norton erkennt zwar den Virus, kann ihn aber nur teilweise entfernen.

Auf meinem Rechner läuft Windows XP Home Edition mit SP2

Ich habe mir auch gerade, so wie es in diesem Board empfohlen wird das Tool HijackThis gezogen, habe allerdings von diese Materie null Ahnung, deshalb wäre ich über eine Hilfe sehr dankbar.

Alt 04.10.2007, 19:55   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



Hallo.

Zitat:
Bei mir hat sich heute der Virus Trojan.KillAV eingeschlichen, obwohl ich Norton Antivirus mit laufenden Auto-Protect im Einsatz habe und erst vor ein paar Tagen Norton auf den neusten Stand durch ein LiveUpdate gebracht habe.
Logisch, Virenscannern kann man nciht wirklich trauen, das was die als sauber erachten kenn trotzdem verseucht sein oder auch umgekehrt (wäre dann ein Fehlalarm).
Deine Symptome deuten auf den Zlob/smitfraud hin, acker mal diese Anleitung ab - poste danach das Logfile des Removaltools sowie ein Hijackthis-Logfile. Link dazu findest du in meiner Signatur.
__________________

__________________

Alt 04.10.2007, 22:21   #3
Hektor
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



Hallo cosinus,

erstmal vielen Dank für Deine Hilfe. Ich habe mir SmitfraudFix runtergeladen und nach Anweisung durchgearbeitet. Also erstmal gescannt und dann im abgesicherten Modus von XP gereinigt. Leider hat es nicht wirklich geholfen. Der Virus will immer noch auf die bestimmten Seiten. Allerdings hat die aggressivität etwas nachgelassen. Kling vielleicht blöd, aber er fragt mich nicht mehr so häufig mit den Fehlermeldungen (oder kommt mir das nur so vor?). Vor allem ist mir aufgefallen (das ist vorhin auch schon so gewesen), dass man irgendwann nicht mehr bei Windows>Start zur Systemsteuerung gelangt, der Menüpunkt ist einfach weg.

Aber gut, nun hier meine rapport.txt

SmitFraudFix v2.237

Scan done at 22:41:40,34, 04.10.2007
Run from C:\Downloads\Virentools\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\printer.exe Deleted
C:\WINDOWS\system32\WinAvXX.exe Deleted
C:\DOKUME~1\ADMINI~1\STARTM~1\PROGRA~1\AUTOST~1\system.exe Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\autorun.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E3B4A54D-0B2F-4D0D-B00C-60C9C741B3DD}: NameServer=192.168.122.252,192.168.122.253
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7B44B18-2F7A-4650-BAE2-BA231F9D1C91}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E3B4A54D-0B2F-4D0D-B00C-60C9C741B3DD}: NameServer=192.168.122.252,192.168.122.253
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F7B44B18-2F7A-4650-BAE2-BA231F9D1C91}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E3B4A54D-0B2F-4D0D-B00C-60C9C741B3DD}: NameServer=192.168.122.252,192.168.122.253
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F7B44B18-2F7A-4650-BAE2-BA231F9D1C91}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Ich hoffe, es gibt noch andere Lösungen, ohne das System neu aufsetzen zu müssen. Das wäre echt klasse
__________________

Alt 04.10.2007, 22:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



Was du schonmal auf jeden Fall machen kannst, ist die hosts-Datei zu editieren. Lösche alle Zeilen außer dem Localhost oder ersetze sie einfach durch dieses hosts-file.
Du findest sie unter [c:\windows\system32\drivers\etc]

Poste bitte auch noch das Hijackthis-Logfile. Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
Und mach bitte ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.10.2007, 00:35   #5
Hektor
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



OK
a) die hosts-Datei habe ich ersetzt
b) hier sind meine Hijackthis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:49, on 04.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alertic.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\system.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SRUUninstall] "C:\WINDOWS\system32\msiexec.exe" /L*v C:\WINDOWS\TEMP\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SRUUninstall] "C:\WINDOWS\system32\msiexec.exe" /L*v C:\WINDOWS\TEMP\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: lyra2.profimailer.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3B4A54D-0B2F-4D0D-B00C-60C9C741B3DD}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\lexware\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 10565 bytes


c) die beiden Tools habe ich mir runtergeladen
d) ich habe mit eScan begonnen, allerdings nach 40 min erstmal abgebrochen. Ich werde es morgen fortsetzen und mich dann nochmal melden. Bin aber morgen Vormittag erstmal unterwegs, wird warscheinlich eher Mittag. Aber die positive Nachricht: eScan hat schon 9 infizierte Dateien gefunden (das lässt ja hoffen).

Bis morgen


Alt 05.10.2007, 08:14   #6
UneeQ
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



hallo erstmal, hab mich gerade registriert, weil ich genau dieses problem mit der virusschlacht seit dem wochenende auch habe.
ich bekomme immer diese meldung mit dem windows security alert und als ich am samstag wegklicken wollte, kam ich auf die seite mit der virusschlacht. danach habe ich folgendes gemacht:

- systemwiederherstellungen deaktiviert
- rechner im abgesicherten modus hochgefahren
- spybot & ad-aware laufen lassen
- hijackthis logfile erstellt & online ausgewertet

es wird eigentlich nichts mehr angezeigt, aber diese meldung kommt immer noch. außerdem hab ich probleme mit google. wenn ich etwas suche und dann auf das ergebnis klicke, werde ich auf diese seite weitergeleitet:

http://201.218.196.152/click.php?c=370Q8f220c7806c26f4005&r=1

ich muss dann immer auf zurück klicken und dann wieder auf das suchergebnis, bis ich dann wirklich auf meine gesuchte seite komme.

ich muss vorher noch sagen, dass ich mich nicht besonders gut auskenne und die ganzen massnahmen oben nach anleitung gemacht habe

danke im voraus

Alt 05.10.2007, 12:02   #7
Hektor
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



@UneeQ,
bei mir funktioniert noch nicht einmal das „Systemwiederherstellungen deaktiviert“. Zumindest, die mir bekannte Möglichkeit (rechte Maustaste auf Arbeitsplatz > Eigenschaften...).

@ cosinus
ich bin jetzt wieder zurück und werde jetzt den eScan laufen lassen. Ich melde mich nachher mit dem Ergebnis. Übrigens seit heute versucht er sich zwar immer wieder auf die entsprechenden Seiten einzuwählen, aber es kommt oft nur eine leere Website mit der Info:
„unable to connet to db“

Alt 05.10.2007, 14:00   #8
Lavla
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



@UneeQ:

Bitte erstelle ein eigenes Thema für Dich, damit Dir geholfen werden kann.

Und mein erster Tip: führe auch das SmitfraudFix-Programm durch, genauso, wie unten für Hektor beschrieben: http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html

Falls danach noch Probleme sind, wie gesagt, mache ein eigenes Thema auf.

Alt 05.10.2007, 17:22   #9
Hektor
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



sorry, hat ein wenig gedauert der eScan. Hier das Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 10/3/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\printer.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\WinAvXX.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\WinAvXX.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\system.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\autorun.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\printer.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\WinAvXX.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\system.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\autorun.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\system.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\*\Startmenü\Programme\Autostart\system.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\**\Startmenü\Programme\Autostart\system.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\**\Startmenü\Programme\Autostart\Uninstall0.exe infiziert von "Packed.Win32.Klone.ae" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\HP\Memories Disc\skins\HewlettPackard_0002\skingen\MEMDISC\PROVIDED\RETAILPF\SETUP.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP744\A0141237.exe infiziert von "Packed.Win32.Klone.ae" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP744\A0141238.exe infiziert von "Packed.Win32.Klone.ae" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP744\A0141239.exe infiziert von "Trojan.Win32.DNSChanger.du" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP765\A0146236.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP767\A0146942.exe//PE-Crypt.PolyCryptA infiziert von "Trojan.Win32.DNSChanger.fb" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148917.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148918.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148919.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148932.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148933.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148934.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148948.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148949.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148950.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148959.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148960.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148967.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148968.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP773\A0148969.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0148996.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0148997.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0148998.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0148999.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149030.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149031.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149038.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149039.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149040.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149054.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149055.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149056.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149078.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149088.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149089.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2B0D5DDD-525C-465D-B262-5174051A15B4}\RP774\A0149090.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\etc\hosts infiziert von "Trojan.Win32.Qhost.my" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\printer.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\WinAvXX.exe infiziert von "Trojan.Win32.Qhost.pg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Downloads\Virentools\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Downloads\Virentools\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LCPAF4T\hdrsetup[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LCPAF4T\hdrsetup[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.doubleclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ads.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ar.atwola.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banner.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banners.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ca.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 click.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 clicks.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 customer.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 dispatch.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads4.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 engine.awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.kasperskylab.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 go.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ids.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantecliveupdate.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mast.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 media.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 msdn.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 my-etrust.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 networkassociates.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 norton.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 office.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 pandasoftware.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 phx.corporate-ir.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 rads.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 secure.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 securityresponse.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 service1.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 spd.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 support.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 trendmicro.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 update.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates4.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates5.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 us.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 vil.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 windowsupdate.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.ca.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.grisoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.my-etrust.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.networkassociates.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.pandasoftware.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.trendmicro.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.virustotal.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www3.ca.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 264601
Gefundene Viren: 54
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 124
Dauer des Scans bisher: 03:41:35
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:29:57,53
Batchende: 17:30:19,21


Auf meinem Rechner sind drei User angelegt. Ich habe die Usernamen mit * geschrieben, aber damit man ein unterschied sieht:

User 1 = *
User 2 = **
User 3 = ***

ich hoffe, dass war so richtig.

Alt 05.10.2007, 17:24   #10
Hektor
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



so nun noch die Ergebnisse vom Filelist.bat:

Verzeichnis von C:\

05.10.2007 17:35 536.399.872 hiberfil.sys
05.10.2007 17:35 805.306.368 pagefile.sys
05.10.2007 16:51 0 23990098.$$$
04.10.2007 22:45 5.442 rapport.txt

Verzeichnis von C:\WINDOWS\system32

04.10.2007 22:41 3.866 tmp.reg
04.10.2007 22:41 0 tmp.txt
04.10.2007 20:24 13.646 wpa.dbl
04.10.2007 10:56 29 grprtprp.tmp
04.10.2007 09:59 7.680 printer.exe
04.10.2007 09:59 7.680 WinAvXX.exe
01.10.2007 21:14 77.824 alertic.exe
30.09.2007 18:23 336.120 FNTCACHE.DAT
23.09.2007 18:26 9.293 rundll32.exe.Z-missing.txt
21.09.2007 22:44 60.800 S32EVNT1.DLL
21.09.2007 20:02 100 LuResult.txt
08.09.2007 09:07 34.304 NTSVC.ocx

Verzeichnis von C:\WINDOWS

05.10.2007 17:42 1.324.981 WindowsUpdate.log
05.10.2007 17:36 0 0.log
05.10.2007 17:36 156 wiadebug.log
05.10.2007 17:36 50 wiaservc.log
05.10.2007 17:35 2.048 bootstat.dat
05.10.2007 13:08 26 Lic.xxx
05.10.2007 13:05 401.392 ntbtlog.txt
05.10.2007 13:03 32.574 SchedLgU.Txt
05.10.2007 12:25 51 iTouch.ini
05.10.2007 00:32 756 win.ini
04.10.2007 22:44 184.628 setupact.log
04.10.2007 11:28 113.152 mteadea.exe
04.10.2007 10:55 12.288 mraerea.exe
04.10.2007 10:00 10 548831127
01.10.2007 21:14 77.824 903765
29.09.2007 00:19 59.904 791046
28.09.2007 12:22 1.409 QTFont.for
28.09.2007 12:22 54.156 QTFont.qfn
21.09.2007 23:16 672.883 setupapi.log
21.09.2007 19:58 4.650 iis6.log
21.09.2007 19:58 26.771 comsetup.log
21.09.2007 19:58 1.374 imsins.log
21.09.2007 19:58 3.091 ocmsn.log
21.09.2007 19:58 15.939 ntdtcsetup.log
21.09.2007 19:58 23.784 tsoc.log
21.09.2007 19:58 9.742 KB893803v2.log
21.09.2007 19:58 3.103 msgsocm.log
21.09.2007 19:58 45.049 ocgen.log
21.09.2007 19:58 42.460 FaxSetup.log
21.09.2007 19:57 730 avmcoins.log
21.09.2007 14:33 107 avmsysnet.log
21.09.2007 14:07 2.431 avmadd32.log
08.09.2007 09:07 34.304 876000

Verzeichnis von C:\WINDOWS\Prefetch

05.10.2007 17:51 10.202 FIND.EXE-0EC32F1E.pf
05.10.2007 17:51 10.084 CMD.EXE-087B4001.pf
05.10.2007 17:51 17.020 WINZIP32.EXE-335422C1.pf
05.10.2007 17:49 29.228 AUPDATE.EXE-089630E1.pf
05.10.2007 17:49 116.206 LUCOMS~1.EXE-02DB5950.pf
05.10.2007 17:49 82.696 LUCALLBACKPROXY.EXE-0B5F632D.pf
05.10.2007 17:41 10.438 HPZIPM12.EXE-145E7369.pf
05.10.2007 17:41 113.512 IEXPLORE.EXE-2CA9778D.pf
05.10.2007 17:41 98.678 ACRODIST.EXE-31C6F71B.pf
05.10.2007 17:41 6.620 SYMLCSVC.EXE-04DC2DC5.pf
05.10.2007 17:41 8.062 SYMLCSV1.EXE-15097EE1.pf
05.10.2007 17:40 66.710 FNPLICENSINGSERVICE.EXE-1A968544.pf
05.10.2007 17:40 27.256 STCENTER.EXE-2DCE9FDD.pf
05.10.2007 17:40 8.836 SYSTEM.EXE-16AC2AAA.pf
05.10.2007 17:40 49.212 WUAUCLT.EXE-399A8E72.pf
05.10.2007 17:40 19.596 FWEBPROT.EXE-039316ED.pf
05.10.2007 17:40 15.936 OSA.EXE-1A10C40B.pf
05.10.2007 17:40 5.444 INSTLSP.EXE-20F3E0E7.pf
05.10.2007 17:40 20.826 HPQTRA08.EXE-1DCE361D.pf
05.10.2007 17:40 37.178 WMIPRVSE.EXE-28F301A9.pf
05.10.2007 17:40 26.504 ADOBECOLLABSYNC.EXE-0ECA1241.pf
05.10.2007 17:40 34.992 HPTSKMGR.EXE-00829595.pf
05.10.2007 17:40 7.466 AUTORUN.EXE-1876A85F.pf
05.10.2007 17:40 21.626 SVCHOST.EXE-3530F672.pf
05.10.2007 17:40 13.506 ACROBAT_SL.EXE-06BB2385.pf
05.10.2007 17:40 7.804 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
05.10.2007 17:40 13.922 HPOSM.EXE-27BA0BA0.pf
05.10.2007 17:40 14.806 CTFMON.EXE-0E17969B.pf
05.10.2007 17:40 18.666 EM_EXEC.EXE-1D53AFF5.pf
05.10.2007 17:40 10.042 ACROTRAY.EXE-0DA18080.pf
05.10.2007 17:40 13.328 WINAVXX.EXE-050EF48B.pf
05.10.2007 17:40 17.334 IPODSERVICE.EXE-233792DA.pf
05.10.2007 17:40 26.206 CCAPP.EXE-2EA3695D.pf
05.10.2007 17:40 16.480 APDPROXY.EXE-1A011AF2.pf
05.10.2007 17:40 8.178 QTTASK.EXE-2D7EEF34.pf
05.10.2007 17:40 13.152 ITUNESHELPER.EXE-08906EB7.pf
05.10.2007 17:40 11.638 VERSIONCUECS2TRAY.EXE-18436C16.pf
05.10.2007 17:40 15.912 PIFSVC.EXE-29FA40EF.pf
05.10.2007 17:40 12.870 RUNDLL32.EXE-383267D7.pf
05.10.2007 17:40 16.792 ITOUCH.EXE-37A5852C.pf
05.10.2007 17:40 9.856 OSCHECK.EXE-0057FF98.pf
05.10.2007 17:40 18.406 LOGI_MWX.EXE-1B741F45.pf
05.10.2007 17:40 5.764 NEROCHECK.EXE-092C6DFA.pf
05.10.2007 17:40 9.110 SOUNDMAN.EXE-19745A34.pf
05.10.2007 17:40 7.754 NWIZ.EXE-2D0F9FBC.pf
05.10.2007 17:40 21.294 RUNDLL32.EXE-1EFB9777.pf
05.10.2007 17:40 22.410 ALG.EXE-0F138680.pf
05.10.2007 17:40 11.586 TBPANEL.EXE-1A02BF0D.pf
05.10.2007 17:40 18.608 HPCMPMGR.EXE-37F8BF19.pf
05.10.2007 17:40 19.242 IMAPI.EXE-0BF740A4.pf
05.10.2007 17:40 21.200 HPWUSCHD.EXE-210DB070.pf
05.10.2007 17:40 12.610 ALERTIC.EXE-1EE893E8.pf
05.10.2007 17:40 6.688 WDFMGR.EXE-2CF4013B.pf
05.10.2007 17:40 17.794 RUNDLL32.EXE-2164E410.pf
05.10.2007 17:40 631.628 NTOSBOOT-B00DFAAD.pf
05.10.2007 13:03 16.672 LOGONUI.EXE-0AF22957.pf
05.10.2007 12:42 15.608 NOTEPAD.EXE-336351A9.pf
05.10.2007 12:41 34.350 WINWORD.EXE-0AEA99D4.pf
05.10.2007 12:41 45.174 NAVW32.EXE-20C61389.pf
05.10.2007 12:25 15.616 PRINTER.EXE-0E099EB1.pf
05.10.2007 12:25 79.906 USERINIT.EXE-30B18140.pf
05.10.2007 12:25 140.304 EXPLORER.EXE-082F38A9.pf
05.10.2007 12:22 38.628 ACROBATINFO.EXE-2A08175E.pf
05.10.2007 12:16 12.194 UNINSTALL0.EXE-3B6FED12.pf
05.10.2007 12:16 7.434 SYSTEM.EXE-2F959615.pf
05.10.2007 12:04 23.526 DWWIN.EXE-30875ADC.pf
05.10.2007 12:04 44.744 DUMPREP.EXE-1B46F901.pf
05.10.2007 12:04 18.046 TASKMGR.EXE-20256C55.pf
05.10.2007 11:58 7.464 SYSTEM.EXE-0B2EDD87.pf
05.10.2007 11:46 5.236 LOGON.SCR-151EFAEA.pf
05.10.2007 11:32 15.618 HPZENG09.EXE-21FF5F4F.pf
05.10.2007 11:31 15.582 HPZSTC09.EXE-3AFDDA16.pf
05.10.2007 11:10 19.592 HPDARC.EXE-25DD680A.pf
05.10.2007 11:08 47.874 PHOTODOWNLOADER.EXE-0604425C.pf
05.10.2007 10:44 163.190 Layout.ini
05.10.2007 09:46 23.552 SSAUTORN.EXE-26BC4D68.pf
05.10.2007 00:20 30.060 RUNDLL32.EXE-1B5303FF.pf
21.09.2007 19:20 6.944 SYMWSCNO.EXE-03D87CDD.pf
21.09.2007 19:18 22.440 MSMSGS.EXE-32066BA5.pf
21.09.2007 18:36 23.542 NDETECT.EXE-38C3701D.pf

Verzeichnis von C:\WINDOWS\tasks

05.10.2007 17:35 6 SA.DAT
21.09.2007 22:37 572 Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - Chef.job

Verzeichnis von C:\WINDOWS\temp

05.10.2007 17:36 32.768 ~DF37AE.tmp
05.10.2007 09:26 32.768 ~DFC31D.tmp
05.10.2007 01:13 32.768 ~DFC341.tmp
04.10.2007 22:48 32.768 ~DFD7B7.tmp
04.10.2007 18:11 32.768 ~DFDAE7.tmp
04.10.2007 16:52 32.768 ~DFE947.tmp
04.10.2007 12:08 32.768 ~DF3EE4.tmp
04.10.2007 11:15 32.768 ~DF5A6B.tmp
22.09.2007 15:33 0 ib4111
22.09.2007 15:33 0 ib4110
22.09.2007 15:33 0 ib4109
22.09.2007 00:49 0 ib4108
22.09.2007 00:49 0 ib4107
22.09.2007 00:49 0 ib4106
21.09.2007 22:58 0 ib4105
21.09.2007 22:58 0 ib4104
21.09.2007 22:58 0 ib4103
21.09.2007 22:46 1.575 Norton_SPALOG_9_21_2007_11885125.txt
21.09.2007 22:46 4.014 SRTSP_Setup_10.2.1.8.log
21.09.2007 22:46 359.208 SRTSP_MSI_U_(1)10.0.0.115.log
21.09.2007 22:45 6.737 srtUnin.log
21.09.2007 22:44 455.368 SRTSP_MSI_I_10.2.1.8.log
21.09.2007 22:44 17.454 SYMEVENT.LOG
21.09.2007 22:42 1.659 Norton_SPALOG_9_21_2007_11878125.txt
21.09.2007 19:26 0 ib4102
21.09.2007 19:26 0 ib4101
21.09.2007 19:26 0 ib4100
21.09.2007 17:52 0 ib4099
21.09.2007 17:52 0 ib4098
21.09.2007 17:52 0 ib4097
21.09.2007 13:53 0 ib4096
21.09.2007 13:53 0 ib4095
21.09.2007 13:53 0 ib4094
21.09.2007 12:59 0 ib4093
21.09.2007 12:58 0 ib4092
21.09.2007 12:58 0 ib4091
20.09.2007 17:09 0 ib4090
20.09.2007 17:09 0 ib4089
20.09.2007 17:09 0 ib4088
20.09.2007 09:07 0 ib4087
20.09.2007 09:07 0 ib4086
20.09.2007 09:07 0 ib4085
19.09.2007 20:22 0 ib4084
19.09.2007 20:22 0 ib4083
19.09.2007 20:22 0 ib4082
19.09.2007 15:19 0 ib4081
19.09.2007 15:19 0 ib4080
19.09.2007 15:19 0 ib4079
19.09.2007 09:31 0 ib4078
19.09.2007 09:31 0 ib4077
19.09.2007 09:31 0 ib4076
18.09.2007 20:17 0 ib4075
18.09.2007 20:17 0 ib4074
18.09.2007 20:17 0 ib4073
18.09.2007 18:55 0 ib4072
18.09.2007 18:55 0 ib4071
18.09.2007 18:55 0 ib4070
18.09.2007 14:24 0 ib4069
18.09.2007 14:24 0 ib4068
18.09.2007 14:24 0 ib4067
18.09.2007 09:53 0 ib4066
18.09.2007 09:53 0 ib4065
18.09.2007 09:53 0 ib4064
17.09.2007 17:21 0 ib4063
17.09.2007 17:21 0 ib4062
17.09.2007 17:21 0 ib4061
17.09.2007 09:19 0 ib4060
17.09.2007 09:19 0 ib4059
17.09.2007 09:19 0 ib4058
16.09.2007 18:53 0 ib4057
16.09.2007 18:53 0 ib4056
16.09.2007 18:53 0 ib4055
15.09.2007 23:31 0 ib4054
15.09.2007 23:31 0 ib4053
15.09.2007 23:31 0 ib4052
15.09.2007 18:58 0 ib4051
15.09.2007 18:58 0 ib4050
15.09.2007 18:58 0 ib4049
15.09.2007 16:07 0 ib4048
15.09.2007 16:06 0 ib4047
15.09.2007 16:06 0 ib4046
14.09.2007 17:18 0 ib4045
14.09.2007 17:18 0 ib4044
14.09.2007 17:18 0 ib4043
13.09.2007 21:51 0 ib4042
13.09.2007 21:50 0 ib4041
13.09.2007 21:50 0 ib4040
13.09.2007 15:39 0 ib4039
13.09.2007 15:39 0 ib4038
13.09.2007 15:39 0 ib4037
13.09.2007 10:00 0 ib4036
13.09.2007 09:59 0 ib4035
13.09.2007 09:59 0 ib4034
12.09.2007 16:28 0 ib4033
12.09.2007 16:28 0 ib4032
12.09.2007 16:28 0 ib4031
12.09.2007 09:00 0 ib4030
12.09.2007 08:59 0 ib4029
12.09.2007 08:59 0 ib4028
11.09.2007 22:31 0 ib4027
11.09.2007 22:31 0 ib4026
11.09.2007 22:31 0 ib4025
11.09.2007 16:04 0 ib4024
11.09.2007 16:04 0 ib4023
11.09.2007 16:04 0 ib4022
11.09.2007 09:17 0 ib4021
11.09.2007 09:17 0 ib4020
11.09.2007 09:17 0 ib4019
10.09.2007 23:55 0 ib4018
10.09.2007 23:55 0 ib4017
10.09.2007 23:55 0 ib4016
10.09.2007 19:05 0 ib4015
10.09.2007 19:05 0 ib4014
10.09.2007 19:05 0 ib4013
10.09.2007 09:47 0 ib4012
10.09.2007 09:47 0 ib4011
10.09.2007 09:47 0 ib4010
09.09.2007 22:19 0 ib4009
09.09.2007 22:19 0 ib4008
09.09.2007 22:19 0 ib4007
09.09.2007 18:42 0 ib4006
09.09.2007 18:42 0 ib4005
09.09.2007 18:42 0 ib4004
09.09.2007 10:04 0 ib4003
09.09.2007 10:04 0 ib4002
09.09.2007 10:04 0 ib4001
07.09.2007 15:18 0 ib4000
07.09.2007 15:18 0 ib3999
07.09.2007 15:17 0 ib3998
06.09.2007 22:23 0 ib3997
06.09.2007 22:23 0 ib3996
06.09.2007 22:23 0 ib3995
06.09.2007 18:49 0 ib3994
06.09.2007 18:49 0 ib3993
06.09.2007 18:49 0 ib3992
06.09.2007 15:18 0 ib3991
06.09.2007 15:18 0 ib3990
06.09.2007 15:18 0 ib3989
05.09.2007 21:58 0 ib3988
05.09.2007 21:58 0 ib3987
05.09.2007 21:58 0 ib3986
05.09.2007 18:57 0 ib3985
05.09.2007 18:57 0 ib3984
05.09.2007 18:57 0 ib3983
05.09.2007 10:11 0 ib3982
05.09.2007 10:11 0 ib3981
05.09.2007 10:11 0 ib3980
04.09.2007 22:55 0 ib3979
04.09.2007 22:55 0 ib3978
04.09.2007 22:55 0 ib3977
04.09.2007 17:16 0 ib3976
04.09.2007 17:16 0 ib3975
04.09.2007 17:16 0 ib3974
04.09.2007 11:59 0 ib3973
04.09.2007 11:59 0 ib3972
04.09.2007 11:59 0 ib3971

Verzeichnis von C:\DOKUME~1\*\LOKALE~1\Temp

05.10.2007 17:51 300.724 filelist.txt
05.10.2007 17:40 49.152 ~DF3FF.tmp
05.10.2007 12:25 49.152 ~DF5B3B.tmp

Meine Hoffnungen liegen nun bei Euch

Alt 05.10.2007, 22:09   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Brauche Hilfe gegen Trojan.KillAV - Ausrufezeichen

Brauche Hilfe gegen Trojan.KillAV



Oh das wird ein Stück Arbeit werden, falls sich die Bereinigung überhaupt noch lohnt! Dein System besteht zu einem großen teil bereits aus Malware.

Werte zuerst mal diese Dateien bei Virustotal aus und poste die Ergebnisse:
Code:
ATTFilter
C:\WINDOWS\System32\alertic.exe
C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\system.exe
         
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.10.2007, 13:40   #12
Hektor
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



Hallo cosinus,

ich habe jetzt mal beide Dateien von Virustotal scannen lassen, allerdings müsstest Du mir noch sagen, wie ich das Ergebnis posten soll. Ich hatte von beiden Ergebnissen PDF-Files gemacht, sind aber größer als die zugelassenen 19,5 kb. Sorry, bin mit Euren Routinen noch nicht so vertraut.

Alt 06.10.2007, 13:42   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



Einfach per copy & paste...
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.10.2007, 14:35   #14
Hektor
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



ok, dann versuche ich es mal...

Datei alertic.exe empfangen 2007.10.06 14:09:45 (CET)
Status: Beendet
Ergebnis: 5/32 (15.63%)

AhnLab-V3 2007.10.6.0 2007.10.05 -
AntiVir 7.6.0.20 2007.10.05 TR/Agent.77824.30
Authentium 4.93.8 2007.10.05 -
Avast 4.7.1051.0 2007.10.05 -
AVG 7.5.0.488 2007.10.06 -
BitDefender 7.2 2007.10.06 -
CAT-QuickHeal 9.00 2007.10.06 -
ClamAV 0.91.2 2007.10.06 -
DrWeb 4.44.0.09170 2007.10.06 Trojan.Fakealert.343
eSafe 7.0.15.0 2007.10.04 -
eTrust-Vet 31.2.5190 2007.10.06 -
Ewido 4.0 2007.10.06 -
FileAdvisor 1 2007.10.06 -
Fortinet 3.11.0.0 2007.10.06 -
F-Prot 4.3.2.48 2007.10.05 -
F-Secure 6.70.13030.0 2007.10.05 -
Ikarus T3.1.1.12 2007.10.06 Trojan-
Downloader.Win32.VB.azq
Kaspersky 7.0.0.125 2007.10.06 -
McAfee 5135 2007.10.05 -
Microsoft 1.2908 2007.10.06 -
NOD32v2 2575 2007.10.06 -
Norman 5.80.02 2007.10.05 -
Panda 9.0.0.4 2007.10.06 -
Prevx1 V2 2007.10.06 -
Rising 19.43.50.00 2007.10.06 -
Sophos 4.22.0 2007.10.06 -
Sunbelt 2.2.907.0 2007.10.06 -
Symantec 10 2007.10.06 -
TheHacker 6.2.6.078 2007.10.06 Trojan/FakeAlert.gen
VBA32 3.12.2.4 2007.10.05 -
VirusBuster 4.3.26:9 2007.10.05 -
Webwasher-
Gateway 6.0.1 2007.10.05 Trojan.Agent.77824.30

Datei system.exe empfangen 2007.10.06 14:20:03 (CET)
Status: Beendet
Ergebnis: 19/32 (59.38%)

AhnLab-V3 2007.10.6.0 2007.10.05 -
AntiVir 7.6.0.20 2007.10.05 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.10.05 Possibly a new variant of
W32/Fathom.3-based!Maximus
Avast 4.7.1051.0 2007.10.05 -
AVG 7.5.0.488 2007.10.06 SHeur.QNE
BitDefender 7.2 2007.10.06 Trojan.Peed.JZ
CATQuickHeal
9.00 2007.10.06 Trojan.Qhost.pg
ClamAV 0.91.2 2007.10.06 Trojan.Small-4148
DrWeb 4.44.0.09170 2007.10.06 -
eSafe 7.0.15.0 2007.10.04 Win32.Qhost.pg
eTrust-Vet 31.2.5190 2007.10.06 Win32/Qhosts.AZ
Ewido 4.0 2007.10.06 -
FileAdvisor 1 2007.10.06 -
Fortinet 3.11.0.0 2007.10.06 W32/NUCRP!worm
F-Prot 4.3.2.48 2007.10.05 W32/Fathom.3-based!Maximus
F-Secure 6.70.13030.0 2007.10.05 Trojan.Win32.Qhost.pg
Ikarus T3.1.1.12 2007.10.06 Virus.Trojan.Win32.Qhost.pg
Kaspersky 7.0.0.125 2007.10.06 Trojan.Win32.Qhost.pg
McAfee 5135 2007.10.05 New Malware.bc
Microsoft 1.2908 2007.10.06 -
NOD32v2 2575 2007.10.06 -
Norman 5.80.02 2007.10.05 -
Panda 9.0.0.4 2007.10.06 Adware/WinAntiVirus2007
Prevx1 V2 2007.10.06 Spyware.WinAntiVirus
Rising 19.43.50.00 2007.10.06 -
Sophos 4.22.0 2007.10.06 Mal/HckPk-A
Sunbelt 2.2.907.0 2007.10.06 -
Symantec 10 2007.10.06 -
TheHacker 6.2.6.078 2007.10.06 Trojan/Qhost.pg
VBA32 3.12.2.4 2007.10.05 -
VirusBuster 4.3.26:9 2007.10.05 -
Webwasher-
Gateway 6.0.1 2007.10.05 Trojan.Crypt.ULPM.Gen

Alt 06.10.2007, 15:00   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Brauche Hilfe gegen Trojan.KillAV - Standard

Brauche Hilfe gegen Trojan.KillAV



Deaktiviere die Systemwiederherstellung.
Danach müssen einige Dateien gelöscht werden, geh dazu so vor:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
Files to delete:
C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\system.exe
C:\WINDOWS\mteadea.exe
C:\WINDOWS\mraerea.exe
C:\WINDOWS\548831127
C:\WINDOWS\903765
C:\WINDOWS\791046
C:\WINDOWS\QTFont.for
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\876000
C:\WINDOWS\System32\alertic.exe
C:\WINDOWS\System32\tmp.reg
C:\WINDOWS\System32\tmp.txt
C:\WINDOWS\System32\grprtprp.tmp
C:\WINDOWS\System32\printer.exe
C:\WINDOWS\System32\WinAvXX.exe
C:\WINDOWS\System32\FNTCACHE.DAT
C:\WINDOWS\System32\rundll32.exe.Z-missing.txt
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\autorun.exe
C:\Dokumente und Einstellungen\**\Startmenü\Programme\Autostart\Uninstall0.exe
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.
6.) Noch mal die Hosts-Datei mit meiner hosts-Datei ersetzen
7.) Dieses CMD-script herunterladen und ausführen. Die erzeugte "listing.txt" aufm Desktop z.B. bei File-Upload oder Rapidshare hochladen und verlinken.
8.) Silentrunners-Logfile posten.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Brauche Hilfe gegen Trojan.KillAV
antivirus, brauche hilfe, computer, download, folge, hijack, hijackthis, home, internet-explorer, internetseite, nicht mehr, opera, rechner, rechtsklick, scan, security, seite, seiten, spyware, symantec, system, tool, trojan.killav, virus, windows xp, öffnet




Ähnliche Themen: Brauche Hilfe gegen Trojan.KillAV


  1. brauche hilfe gegen bundestrojaner.....
    Log-Analyse und Auswertung - 24.06.2012 (2)
  2. Erst Exploit.2010-0840.BC aus Avira, dann Trojan.KillAV aus Malwarebytes
    Log-Analyse und Auswertung - 30.11.2011 (34)
  3. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  4. Trojan KillAV eingefangen
    Log-Analyse und Auswertung - 05.04.2009 (65)
  5. Hilfe bei TR/Killav.ac
    Mülltonne - 12.12.2008 (1)
  6. Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen!
    Plagegeister aller Art und deren Bekämpfung - 08.04.2008 (13)
  7. Brauche Hilfe! trojan-agent-winlogonhook, trojan-downloader-zlob, ...
    Plagegeister aller Art und deren Bekämpfung - 05.02.2008 (0)
  8. Brauche Hilfe gegen scvhost.exe
    Log-Analyse und Auswertung - 23.01.2008 (7)
  9. Brauche Hilfe gegen Win32.Trojan-PSW.Lineage
    Plagegeister aller Art und deren Bekämpfung - 16.01.2008 (11)
  10. verzeifelt, trojan.Perfcoo u. trojan.KillAV
    Log-Analyse und Auswertung - 19.10.2007 (40)
  11. trojan.killAV
    Plagegeister aller Art und deren Bekämpfung - 28.09.2007 (24)
  12. Trojan.KillAV.FG
    Log-Analyse und Auswertung - 12.02.2007 (2)
  13. Brauche hilfe gegen HIJackers !
    Log-Analyse und Auswertung - 27.05.2006 (3)
  14. I-net spinnt, Comp spinnt = Trojan.Lowzones + Trojan.KillAV
    Plagegeister aller Art und deren Bekämpfung - 13.07.2005 (11)
  15. Brauche hilfe gegen den tr/drop.small.vy.1
    Plagegeister aller Art und deren Bekämpfung - 29.05.2005 (1)
  16. Brauche Hilfe im Kampf gegen coolsearch.biz!
    Log-Analyse und Auswertung - 23.11.2004 (2)
  17. Brauche Hilfe gegen exdl.exe und mqexdl
    Log-Analyse und Auswertung - 17.11.2004 (6)

Zum Thema Brauche Hilfe gegen Trojan.KillAV - Bei mir hat sich heute der Virus Trojan.KillAV eingeschlichen, obwohl ich Norton Antivirus mit laufenden Auto-Protect im Einsatz habe und erst vor ein paar Tagen Norton auf den neusten Stand - Brauche Hilfe gegen Trojan.KillAV...
Archiv
Du betrachtest: Brauche Hilfe gegen Trojan.KillAV auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.