|
Plagegeister aller Art und deren Bekämpfung: 1. schon wieder mehrere viren, 2. mailserver auf einer blacklist??Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.01.2008, 20:29 | #1 |
| 1. schon wieder mehrere viren, 2. mailserver auf einer blacklist?? hallo ihr lieben helfer, ich war erst vor kurzem hier wegen mehrerer viren, heute hat mir mein virenprogramm (alvira) schon wieder mehrere davon gemeldet (ich hab windows xp, alvira und zone-alarm, außerdem verwend ich seit gestern firefox und thunderbird). hier der bericht vom virenprogramm, er hat 6 viren und einige bedrohungen gefunden: Code:
ATTFilter AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Donnerstag, 03. Jänner 2008 15:19 Es wird nach 999037 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: geändert Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 18:03:45 ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 28.12.2007 16:12:33 ANTIVIR3.VDF : 7.0.1.186 71168 Bytes 02.01.2008 17:14:01 AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 19.12.2007 18:04:13 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24 AVPACK32.DLL : 7.6.0.2 360488 Bytes 19.12.2007 18:04:13 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: I:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Donnerstag, 03. Jänner 2008 15:19 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ad-Aware.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'converter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NvMixerTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Disk_Monitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '38' Prozesse mit '38' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'I:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '29' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Chiligreen\Desktop\Utilities\avenger.zip [0] Archivtyp: ZIP --> avenger.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1f0f8.qua' verschoben! C:\Dokumente und Einstellungen\Chiligreen\Desktop\Utilities\avenger\avenger.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1f10b.qua' verschoben! C:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP18\A0001278.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ad0a58.qua' verschoben! Beginne mit der Suche in 'I:\' <LaCie> I:\LwC\Dokumente und Einstellungen\Chiligreen\Desktop\Utilities\avenger.zip [0] Archivtyp: ZIP --> avenger.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e20f29.qua' verschoben! I:\LwC\Dokumente und Einstellungen\Chiligreen\Desktop\Utilities\avenger\avenger.exe.gz [0] Archivtyp: GZ --> avenger.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e20f2d.qua' verschoben! I:\LwC\Dokumente und Einstellungen\Chiligreen\Desktop\Utilities\avenger\avenger.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e20f30.qua' verschoben! I:\LwC\Spiele\SkiChallenge2005Kitzbuehel_Version12a.exe [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\ufo-joe.exe [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\CEGUIBase.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\CEGUIFalagardWRBase.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\CEGUISILLYImageCodec.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\CEGUIXercesParser.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\jpeg.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\libpng12.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\ogg.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\OpenGLGUIRenderer.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\SDL.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\SDL_image.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\SDL_mixer.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\SDL_ttf.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\Secret Maryo Chronicles.exe [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\SILLY.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\stlport.5.0.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\uninstall.exe [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\vorbis.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\vorbisfile.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\xerces-c_2_7.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\zlib1.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\Microsoft.VC80.CRT\msvcm80.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\Microsoft.VC80.CRT\msvcp80.dll [WARNUNG] Die Datei konnte nicht gelesen werden! I:\LwC\Spiele\Secret Maryo Chronicles\Microsoft.VC80.CRT\msvcr80.dll [WARNUNG] Die Datei konnte nicht gelesen werden! Ende des Suchlaufs: Donnerstag, 03. Jänner 2008 19:49 Benötigte Zeit: 4:29:17 min Der Suchlauf wurde vollständig durchgeführt. 11600 Verzeichnisse wurden überprüft 1767279 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 27 Dateien konnten nicht durchsucht werden 1767273 Dateien ohne Befall 55154 Archive wurden durchsucht 27 Warnungen 34 Hinweise außerdem ist mir heute etwas sehr merkwürdiges passiert. ich bin gestern auf thunderbird umgestiegen und wollte heute innerhalb meiner email-adressen ein paar testmails verschicken. plötzlich kam folgende meldung: Code:
ATTFilter The following addresses had permanent fatal errors ----- <meine email-adresse> (reason: 591 email-adresse your host [hier stand eine IP-Nummer (glaub ich), hab's zur sicherheit gelöscht, falls es meine eigene ist] is blacklisted by sbl-xbl.spamhaus.org. Send your questions to blacklist-admin@mailfe16.swip.net) 554 5.0.0 Service unavailable <<< 554 no valid RCPT address specified ein paar stunden später gingen meine email-adressen wieder ganz normal, nur eine funktioniert immer noch nicht und es kommt folgende meldung: Code:
ATTFilter The following addresses had permanent fatal errors ----- <email-adresse> (reason: 553 sorry, your mailserver [wieder diese IP-nr wie oben] is rejected by email.aon.at based on http://cbl.abuseat.org or http://www.njabl.org) ----- Transcript of session follows ----- ... while talking to email.aon.at.: >>> MAIL From:<xxx> SIZE=938 <<< 553 sorry, your mailserver [IP-nr] is rejected by email.provider.länderkürzel based on http://cbl.abuseat.org or http://www.njabl.org 501 5.6.0 Data format error ich blick hier echt nicht mehr durch... könnt ihr mir bitte weiterhelfen???? vielen dank!!!!! lg |
04.01.2008, 13:47 | #2 |
| 1. schon wieder mehrere viren, 2. mailserver auf einer blacklist?? hallo,
__________________noch ein PS zu gestern: die email-adressen funktionieren heute wieder... könnte mir bitte jemand wegen der viren helfen? (siehe 1. posting - das virenprogramm hat die dinger erstmal in quarantäne verschoben, falls das wichtig ist) ich füge hier schon mal das hijack-log an: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:44:03, on 04.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Musikprogramme\AudioConverter Studio\converter.exe C:\Programme\Musikprogramme\BearShare\BearShare.exe C:\Dokumente und Einstellungen\Chiligreen\Desktop\abc123.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Persbackup.lnk = I:\Personal Backup 4\Persbackup.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3C52965E-04C8-4316-85FD-DEFCBA09CAE7}: NameServer = 195.3.96.67,195.3.96.68 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 9011 bytes wär echt super, wenn ihr mir weiterhelfen könntet!!! vielen dank im voraus!! lg |
04.01.2008, 14:04 | #3 |
> MalwareDB | 1. schon wieder mehrere viren, 2. mailserver auf einer blacklist?? Dein HJT ist in Ordnung, Avira hat Avenger gelöscht, warum war das auf dem Rechner?
__________________Dieses Tool stellt keine Bedrohung da, verhält sich aber wohl ähnlich wie Schadsoftware. Damit Dein Rechner aber sauber bleibt solltest Du dies hier C:\Programme\Musikprogramme\BearShare\BearShare.exe Deinstallieren. |
04.01.2008, 14:15 | #4 |
| 1. schon wieder mehrere viren, 2. mailserver auf einer blacklist?? hallo, vielen dank für deine antwort!!!! avenger ist auf meinem pc weil ich vor kurzer zeit schon mal viren hatte - da hab ich mich auch an dieses forum gewandt und ich glaube avenger war eines der programme, die damals benötigt wurden... meinst du wirklich, dass avira das gelöscht hat? avira hat mich während des virenchecks gefragt, was er machen soll und ich hab gesagt in quarantäne verschieben (1. weil das vorgeschlagen war, 2. weil ich keine ahnung habe, ob ich das einfach so löschen kann)?? wenn mein system sauber ist, warum bekomme ich dann von avira bei jedem virenscan meldungen, dass ich schon wieder irgendwelche viren habe?? hab ich was falsch eingestellt oder so?? dickes dankeschön für deine hilfe!!!!!!!! lg |
04.01.2008, 14:28 | #5 |
> MalwareDB | 1. schon wieder mehrere viren, 2. mailserver auf einer blacklist?? Erstmal ist Avenger wie gesagt nicht schlimmes. Eine Av Hersteller sehen das aber wohl anders. In dem von Dir geposteten Log findet sich kein Hinweis auf einen Befall. Du kannst Avira aber mal so einstelle wie hier beschrieben und natürlich vor dem Scan die Signaturen Updaten! Wenn es etwas findet, ist die Quarantäne erstmal ein guter Weg, Falls etwas fälschlich gelöscht wurde bekommt man es so schnell zurück. Wenn neue Meldungen kommen, poste diese bitte hier. |
04.01.2008, 21:38 | #6 |
| 1. schon wieder mehrere viren, 2. mailserver auf einer blacklist?? hallo, dankeschön!!!! ich hab avira jetzt so eingestellt, wie auf deinem link angegeben. anschließend hab ich nochmal einen virenscan gemacht. er hat wieder viren gefunden und außerdem angeblich auch noch phishing-mails (vielleicht hat das ja was mit den merkwürdigen meldungen bezüglich meiner emails von gestern zu tun??) - er hat mir allerdings nicht angegeben, welche mails das sein sollten und ich weiß auch nicht, wie ich da nachsehen kann... hier der bericht von avira: Code:
ATTFilter AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Freitag, 04. Jänner 2008 15:01 Es wird nach 1000636 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: *** Computername: *** Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 18:03:45 ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 28.12.2007 16:12:33 ANTIVIR3.VDF : 7.0.1.193 91136 Bytes 04.01.2008 13:59:54 AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 19.12.2007 18:04:13 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24 AVPACK32.DLL : 7.6.0.2 360488 Bytes 19.12.2007 18:04:13 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: I:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Freitag, 04. Jänner 2008 15:01 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'converter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AluSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PIFSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NvMixerTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Disk_Monitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'I:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '29' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Chiligreen\Anwendungsdaten\Thunderbird\Profiles\ly15dxqz.default\Mail\Local Folders\Inbox [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[From: Citizens bank <supprefnum416041180015553@citize][Subject: Update your account records [Mon, 06 Dec 2004 2]6164.mim [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkfrau.BD [1] Archivtyp: MIME --> file0.html [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkfrau.BD [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\Chiligreen\Anwendungsdaten\Thunderbird\Profiles\ly15dxqz.default\Mail\Local Folders\Trash.sbd\Outlook Express Nachricht.sbd\Posteingang [0] Archivtyp: Netscape/Mozilla Mailbox --> Mailbox_[From: Citizens bank <supprefnum416041180015553@citize][Subject: Update your account records [Mon, 06 Dec 2004 2]2886.mim [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkfrau.BD [1] Archivtyp: MIME --> file0.html [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/CitiBkfrau.BD [WARNUNG] Die Datei wurde ignoriert. Beginne mit der Suche in 'I:\' <LaCie> I:\System Volume Information\_restore{03A294FD-3B7D-4469-B77E-6B4845797DD4}\RP18\A0001304.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ae60a3.qua' verschoben! Ende des Suchlaufs: Freitag, 04. Jänner 2008 21:09 Benötigte Zeit: 6:08:27 min Der Suchlauf wurde vollständig durchgeführt. 13175 Verzeichnisse wurden überprüft 2051187 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 2051182 Dateien ohne Befall 92311 Archive wurden durchsucht 4 Warnungen 54 Hinweise gibt es in zukunft für mich als laie irgendeine möglichkeit das zu unterscheiden oder muss ich da immer euch damit belästigen? ;-) vielen dank!!!!! lg |
05.01.2008, 04:54 | #7 |
> MalwareDB | 1. schon wieder mehrere viren, 2. mailserver auf einer blacklist?? Lösche nun manuell in Thunderbird die angemerkerten eMails! Ansonsten ist in dem Log nichts mehr besonders zu sehen. |
05.01.2008, 10:52 | #8 |
| 1. schon wieder mehrere viren, 2. mailserver auf einer blacklist?? hallo, ich hab das jetzt gelöscht - es gab zwar nur ein mail (nicht 2, wie angegeben), das war auch einen tag später datiert, aber ich hoffe, dass das jetzt ok ist...? ganz, ganz dickes dankeschön für deine hilfe!!!!!! :aplaus: :aplaus: :aplaus: das war wirklich sehr nett von dir!! so, ich hoffe, ich muss das forum jetzt lange nicht mehr aufsuchen ;-) danke!!!!!!!!!!!!!!!!!!! lg |
Themen zu 1. schon wieder mehrere viren, 2. mailserver auf einer blacklist?? |
.dll, 0 bytes, avg, avgnt.exe, avira, confused, ctfmon.exe, dateien, desktop, einstellungen, firefox, firefox.exe, ip-adresse, ip-nummer, jusched.exe, logon.exe, lsass.exe, mehrere, modul, monitor.exe, namen, nt.dll, programm, programme, prozesse, quara, registry, services.exe, sicherheit, suchlauf, svchost.exe, system volume information, verweise, viren, virus, virus gefunden, warnung, windows, windows xp, winlogon.exe |