LAN IRCbot-verseucht? (PC 1)

diverslung · 27.01.2008, 22:16

Hi allerseits,

ich habe ein LAN aus 3 PCs und musste dieses - d.h. jeden der drei PCs - aus gegebenem Anlass heute mal auf Viren etc. scannen.
Dabei hat mir escan einige Ergebnisse ausgespuckt, die ich angesichts meiner sonstigen Schutzmaßnahmen nicht einordnen kann.
Ich habe jeden der drei PCs einmal mit escan gescannt, einmal mit HijackThis und einmal mit avira Premium Security Suite.
Alle drei Hijackthis-Logs haben bei der Online-Prüfung keine Infizierung angezeigt. Auch Avira findet keine Viren.
Dennoch schlägt escan Alarm. Daher wollte ich Euch um Mithilfe bitten. Da es sich um 3 PCs handelt mache ich drei verschiedene Threads auf.

In diesem Thread geht es also um PC 1 - ich poste hier mal a) die Escan-Ergebnisse und b) das Hijack-LOG.

a) die Escan-Ergebnisse:

Sun Jan 27 16:46:46 2008 => System found infected with savenow Adware (C:\WINNT\system32\unrar.dll)! Action taken: No Action Taken.
Sun Jan 27 16:46:46 2008 => System found infected with savenow Adware (C:\WINNT\system32\ccrpftv6.ocx)! Action taken: No Action Taken.
Sun Jan 27 16:46:47 2008 => System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/nowinkeys)! Action taken: No Action Taken.
Sun Jan 27 16:46:47 2008 => System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/noactivedesktopchanges)! Action taken: No Action Taken.
Sun Jan 27 16:46:47 2008 => System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/noactivedesktop)! Action taken: No Action Taken.

b) das Hijack-LOG:

Logfile of HijackThis v1.99.1
Scan saved at 20:31:17, on 27.01.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Sicherheit\Avira Premium Security Suite\sched.exe
C:\Programme\Sicherheit\Avira Premium Security Suite\avguard.exe
C:\WINNT\ATKKBService.exe
C:\Programme\Sicherheit\Avira Premium Security Suite\avesvc.exe
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Zubehoer\Tools\Foldersize\FolderSizeSvc.exe
C:\Programme\Treiber\CoolnQuiet\GemServ.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
c:\PROGRA~1\zubehoer\Tools\TRAYMA~1\ntstart.exe
c:\PROGRA~1\zubehoer\Tools\TRAYMA~1\trayman.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\WINNT\system32\WFXSVC.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Treiber\Scanner\WinFax Pro\WFXMOD32.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Sicherheit\Avira Premium Security Suite\avmailc.exe
C:\Programme\Sicherheit\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINNT\system32\wfxsnt40.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Treiber\Scanner\Textbridge ME\Bin\InstantAccess.exe
C:\programme\zubehoer\ASUS\Probe\AsusProb.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\HHVcdV7Sys\VC7Play.exe
C:\Programme\Remote Control Pro\RCPServer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Multimedia\Video\PowerDVD 5\PowerDVD\PDVDServ.exe
C:\Programme\Netzwerk\LAN\Traffic Monitor\nw.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Zubehoer\Tools\QuickRes\qr.exe
C:\Programme\Zubehoer\Tools\Transparent\Transparent.exe
C:\Programme\Zubehoer\Virtual CD 7\System\VC7Tray.exe
C:\Programme\Netzwerk\Internet\Tools\ReGet\regetdx.exe
c:\programme\sicherheit\avira premium security suite\avscan.exe
C:\Programme\Netzwerk\Internet\Browser\Mozilla Firefox 2.0\firefox.exe
C:\Programme\Sicherheit\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netzwerk\Internet\Browser\Netscape 4.78\Users\default\prefs.js)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\Netzwerk\Internet\Tools\ReGet\iebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [StartupDelayer] "C:\Programme\Zubehoer\Tools\Start Delay\Startup Launcher.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Sicherheit\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\Multimedia\Video\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Multimedia\Text\Adobe Acrobat Reader 8\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ASUS Probe] c:\programme\zubehoer\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Audiograbber] c:\programme\multimedia\sound\audiograbber\audiograbber.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: ClearProg.lnk = C:\Programme\Sicherheit\ClearProg\ClearProg.exe
O4 - Global Startup: Lan.FS Version 2.lnk = C:\Programme\Netzwerk\LAN\LAN-FS 2\Lan-fs.exe
O4 - Global Startup: NW.lnk = C:\Programme\Netzwerk\LAN\Traffic Monitor\nw.exe
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MULTIM~1\Text\MSOFFI~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINNT\system32\shdocvw.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O12 - Plugin for .asx: C:\Programme\Netzwerk\Internet\Browser\Netscape 4.78\Program\PLUGINS\npdsplay.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170005916765
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1170007343515
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Sicherheit\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Sicherheit\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Sicherheit\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Sicherheit\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Sicherheit\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINNT\ATKKBService.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Sicherheit\Avira Premium Security Suite\avesvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\Zubehoer\Tools\Foldersize\FolderSizeSvc.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\Treiber\CoolnQuiet\GemServ.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TrayMan - Unknown owner - c:\PROGRA~1\zubehoer\Tools\TRAYMA~1\ntstart.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINNT\system32\WFXSVC.EXE

Danke!

raman · 28.01.2008, 07:05

Bevor dich Escan mit seinen sonderbaren Meldungen verunsichert, nimm mal die org. KAV Scan-Only Version: http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/ (neuste Version herunterladen)

Stelle dein Antivir ein wie hier beschrieben: http://www.trojaner-board.de/showthread.php?t=54192

Was bedeutet "aus gegebenem Anlass" bei dir?

diverslung · 28.01.2008, 08:10

Hallo!

Zitat:

Zitat von raman

Was bedeutet "aus gegebenem Anlass" bei dir?

Das bedeutet, dass ich beim Einrichten eines Notebooks einen Routinescan mit Escan gemacht habe, bei dem diese merkwürdigen Ergebnisse herausgekommen sind. Daraufhin habe ich natürlich alle Rechner im Netzwerk kontrolliert.

Mein Antivir-Log für PC 1:

Versionsinformationen:
BUILD.DAT : 168 23343 Bytes 19.09.2007 13:57:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.09.2007 18:27:04
AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.09.2007 18:27:04
LUKE.DLL : 7.0.5.3 147496 Bytes 06.09.2007 18:27:06
LUKERES.DLL : 7.0.6.0 10792 Bytes 06.09.2007 18:27:06
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 18:27:13
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 20:42:09
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 25.01.2008 20:44:13
ANTIVIR3.VDF : 7.0.2.50 2048 Bytes 25.01.2008 20:44:13
AVEWIN32.DLL : 7.6.0.56 3215872 Bytes 25.01.2008 20:44:14
AVWINLL.DLL : 1.0.0.7 14376 Bytes 20.04.2007 04:54:10
AVPREF.DLL : 7.0.2.2 25640 Bytes 06.09.2007 18:27:04
AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 04:54:11
AVPACK32.DLL : 7.6.0.3 360488 Bytes 15.01.2008 20:51:29
AVREG.DLL : 7.0.1.6 30760 Bytes 06.09.2007 18:27:04
AVARKT.DLL : 1.0.0.20 278568 Bytes 06.09.2007 18:27:03
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.09.2007 18:27:04
NETNT.DLL : 7.0.0.0 7720 Bytes 20.04.2007 04:54:10
RCIMAGE.DLL : 7.0.1.32 2875432 Bytes 05.09.2007 18:29:18
RCTEXT.DLL : 7.0.62.0 90152 Bytes 05.09.2007 18:29:18
SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.09.2007 18:27:06

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\sicherheit\avira premium security suite\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: Z:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: Sonntag, 27. Januar 2008 17:59

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\enum
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\parameters
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\security
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\servicebinary
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\group
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\imagepath
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\errorcontrol
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\start
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\type
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vdrv7000\tag
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '33751' Objekte überprüft, '10' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regetdx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ScanningProcess' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mwavscan.com' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vc7tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Transparent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RCPServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VC7Play.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsusProb.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InstantAccess.e' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.ex' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WFXSNT40.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'devldr32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WFXMOD32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WFXSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VC7SecS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'trayman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NTStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GemServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FolderSizeSvc.e' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTsvcCDA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.ex' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '49' Prozesse mit '49' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'L:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '22' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <*>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <*>
Beginne mit der Suche in 'E:\' <*>
E:\*\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <001001c756c9$275225d0$2201a8c0@botteri>][From: "Sparkasse Finanzportal GmbH. Support" <custome][Subject: Sparkasse Finanzportal informiert Sie ]334.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/SparBkfraud.5
[1] Archivtyp: MIME
--> file0.mim
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/SparBkfraud.5
--> Mailbox_[Message-ID: <01c81484$ee13c210$62681657@fulvia.danby>][From: "Jerome Anaya" <fulvia.danby@vonwurden.dk>][Subject: Hot pictures]2236.mim
[1] Archivtyp: MIME
--> angel.zip
[2] Archivtyp: ZIP
--> angel.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Ntech.N
[WARNUNG] Die Datei wurde ignoriert.
E:\*\gelesen.sbd\Freunde.sbd\*
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Message-ID: <001401c41e12$6f966b70$fe7aa8c0@homer>][From: "*>][Subject: Re: an den Osterhasen]80.mim
[1] Archivtyp: MIME
--> file1.html
[FUND] Ist das Trojanische Pferd TR/StartPage.FI
[WARNUNG] Die Datei wurde ignoriert.
Beginne mit der Suche in 'F:\' <*>
Beginne mit der Suche in 'G:\' <*>
Beginne mit der Suche in 'H:\' <*>
Beginne mit der Suche in 'I:\' <*>
Beginne mit der Suche in 'J:\' <*>
Beginne mit der Suche in 'K:\' <*>
Beginne mit der Suche in 'L:\' <*>
Beginne mit der Suche in 'M:\' <*>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'X:\' <*>
Beginne mit der Suche in 'Y:\'
Der zu durchsuchende Pfad Y:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'Z:\'
Der zu durchsuchende Pfad Z:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Ende des Suchlaufs: Sonntag, 27. Januar 2008 21:05
Benötigte Zeit: 3:05:56 min

Der Suchlauf wurde vollständig durchgeführt.

16181 Verzeichnisse wurden überprüft
558394 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
558390 Dateien ohne Befall
13134 Archive wurden durchsucht
3 Warnungen
34 Hinweise
33751 Objekte wurden beim Rootkitscan durchsucht
10 Versteckte Objekte wurden gefunden

Die angegebene Email dieses ominösen Sparkassen Portals ist übrigens nicht aufzufinden.

LG

raman · 28.01.2008, 08:30

Ja, das ist halt diese "Escankrankheit". Das ist, zusammen mit dem ungewollten erstellen von Ordnern im Windowsverzeichniss, ein Grund, das man Escan nicht nutzen sollte, schon garnicht wenn es sich um unerfahrene User handelt, das kann einem extrem verunsichern!

Daher auch die Bitte, die KAV scan-only Version zu nehmen. Die Erkennung ist die Gleiche, gereinigt wird auch und die Fehlalarme bleiben aus. Hat der Scan mit KAV noch etwas ergeben?

Zu der nicht auffindbaren Email. Du musst den entsprechenden Ordner erst komprimieren lassen. Dann ist die Mail auch weg

diverslung · 28.01.2008, 09:40

Hi,

ich kann das AVPTool nicht installieren - er bricht immer vorzeitig ab. Probiere es weiter...

raman · 28.01.2008, 09:42

Was fuer eine Fehlermeldung gibt es?

diverslung · 29.01.2008, 00:51

Hi,

zuerst kommt eine Aufforderung, dass ein Scan im abgesicherten Modus nötig ist (- das passiert übrigens auch, wenn ich wärend der Installation bereits im abgesicherten Modus bin), dann geht die Installation weiter und wenn Sie fertig ist, öffnet sich eine Dialogbox mit der Nachricht, dass die setup-Datei einen Fehler verursacht hat und dass ein Fehlerprotokoll erstellt wird. Frage ist nur, wo... Die Protokolle unter der Windowsverwaltung können offenbar nicht gemeint sein - da taucht jedenfalls nichts vergleichbares auf.

Gruß

raman · 29.01.2008, 16:20

Warum hast du denn im abgesicherten Modus installiert? Das geht bei einigen Programmen garnicht, da sie bestimmte Dateien brauchen, die im abgesicherten Modus nicht installiert/geladen sind.

Ansonsten mache bitte den Scan mit Drweb.

LAN IRCbot-verseucht? (PC 1)

Plagegeister aller Art und deren Bekämpfung: LAN IRCbot-verseucht? (PC 1)