|
Plagegeister aller Art und deren Bekämpfung: Plötzlich Antivirus und blauer Desktop mit FehlermeldungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.08.2008, 16:45 | #1 |
| Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Hallo, ich habe bereits bei google gesucht und bin eigentlich immer wieder auf Beiträge in diesem Forum gelandet. Nun sind viele Beiträge ähnlich, aber ich bin mir einfach unsicher, was ich machen soll. Da es doch ein paar Unterschiede gibt. 1. Plötzlich hab ich Antivirus. Ich habe meinen PC seit 1 1/2 Jahren und wenn ich Antivirus drauf hab, so hatte ich es eigentlich nie im Betrieb. Und bis heute hatte es sich auch niemals gemeldet. Nun geh ich zum Mittagessen und als ich wieder komm, ist mein Bildschirm blau und sagt mir, ich müsse mein System überprüfen. Ich habe also meinen Pc ausgeschaltet (erstmal aus Panik) und dann neu gestartet. Dann hat er mein System überprüft und nun ist mein Deskop blau mit der Fehlermeldung 'Warning. Spyware detected on your computer. Install an Antivirus or spyware remoter to clean your computer.' Diese Meldung hab ich hier schon ein paar Mal gefunden...aber gleichzeitig ist nun das Antivirus XP ständig aktiv und gibt mir ständig folgende Meldung: 'Antivirus XP has found 3079 viruses on your Computer. It ist recommended to disinfect files as soon as possible.' Ich habe Avast! als normales Programm und hab es jetzt nochmal scannen lassen und es hat auch einige Viren gefunden, die ich dann entfernt habe. Ich habe keine Ahnung...hängt das mit Antivirus zusammen, warum öffnete sich dieses Programm plötzlich und nun bekomme ich es nicht mehr weg und es will auch ständig, dass ich mich dann registriere. Was wohl soviel heißt, wie es kaufen. Ich habe einen HiJackThis-Scan gemacht, da ich das hier öfter gelesen hatte. Vielleicht kann mir jemand helfen. Gruß, Neri Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:13:53, on 09.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\system32\lphclsej0e93w.exe C:\WINDOWS\msauc.exe C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\WINDOWS\system32\drivers\svchost.exe C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe C:\WINDOWS\system32\pphclsej0e93w.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Acer\Empowering Technology\eLock\LockServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe D:\Programme\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Acer\Empowering Technology\ePerformance\MemCheck.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\RtkBtMnt.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\ashSimpl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FLASHGET\getflash.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe O4 - HKLM\..\Run: [lphclsej0e93w] C:\WINDOWS\system32\lphclsej0e93w.exe O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe O4 - HKLM\..\Run: [C:\WINDOWS\system32\kduuu.exe] C:\WINDOWS\system32\kduuu.exe O4 - HKLM\..\Run: [SMrhcgsej0e93w] C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acer Empowering Technology.lnk = ? O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol 120\StarWind\StarWindService.exe -- End of file - 9327 bytes |
09.08.2008, 16:57 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Hallo
__________________Installiere in absehbarer Zeit das SP3 für Windows XP! Acker das hier für weitere Analysen ab: 1.) Folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINDOWS\system32\lphclsej0e93w.exe C:\WINDOWS\msauc.exe C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe C:\WINDOWS\system32\drivers\svchost.exe C:\WINDOWS\system32\pphclsej0e93w.exe C:\WINDOWS\system32\kduuu.exe C:\WINDOWS\iexplorer.exe 3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
__________________ |
09.08.2008, 19:22 | #3 |
| Plötzlich Antivirus und blauer Desktop mit Fehlermeldung So, ich hoffe ich poste hier das Richtige. Ich habe sowas noch nie gemacht :/
__________________Die Dateiüberprüfung bei virustotal Code:
ATTFilter msauc.exe Ergebnis: 10/36 (27.78%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.9.0 2008.08.08 - AntiVir 7.8.1.19 2008.08.09 DR/Delphi.Gen Authentium 5.1.0.4 2008.08.09 - Avast 4.8.1195.0 2008.08.08 - AVG 8.0.0.156 2008.08.09 Win32/Heur BitDefender 7.2 2008.08.09 - CAT-QuickHeal 9.50 2008.08.08 - ClamAV 0.93.1 2008.08.09 - DrWeb 4.44.0.09170 2008.08.09 Trojan.MulDrop.18267 eSafe 7.0.17.0 2008.08.07 - eTrust-Vet 31.6.6021 2008.08.08 - Ewido 4.0 2008.08.09 - F-Prot 4.4.4.56 2008.08.08 - F-Secure 7.60.13501.0 2008.08.09 - Fortinet 3.14.0.0 2008.08.09 - GData 2.0.7306.1023 2008.08.09 Trojan.Win32.Buzus.qpv Ikarus T3.1.1.34.0 2008.08.09 Downloader.Delphi K7AntiVirus 7.10.408 2008.08.09 - Kaspersky 7.0.0.125 2008.08.09 Trojan.Win32.Buzus.qpv McAfee 5357 2008.08.08 - Microsoft 1.3807 2008.08.09 VirTool:Win32/DelfInject.gen!AM NOD32v2 3341 2008.08.08 a variant of Win32/Injector.CA Norman 5.80.02 2008.08.08 - Panda 9.0.0.4 2008.08.09 - PCTools 4.4.2.0 2008.08.09 - Prevx1 V2 2008.08.09 Cloaked Malware Rising 20.56.41.00 2008.08.08 - Sophos 4.32.0 2008.08.09 - Sunbelt 3.1.1538.1 2008.08.09 - Symantec 10 2008.08.09 - TheHacker 6.2.96.395 2008.08.08 - TrendMicro 8.700.0.1004 2008.08.08 - VBA32 3.12.8.3 2008.08.09 - ViRobot 2008.8.8.1329 2008.08.08 - VirusBuster 4.5.11.0 2008.08.09 - Webwasher-Gateway 6.6.2 2008.08.09 Trojan.Dropper.Delphi.Gen weitere Informationen File size: 173056 bytes MD5...: c18d9afdd46e9a37f0efd9798db965c8 SHA1..: f6b2bd1109603370cec532b24756c86d593a580a SHA256: d2cb609c81557fd7140297a07ff7da91bafbcfbfdd40f9b7c221fc8f77dba0dc SHA512: 309347b725e3e3da42153cb20f0125e19d84cc11986e82bf7601e4d2badbad59 1dd0a29dc41d67427de2f949d1e8189ed0daa9e41be19c74ed9b9aca7563906d PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x20224c timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x1464 0x1600 6.07 2162c62f09932d6119e70d15c523d9d2 DATA 0x3000 0x28078 0x28200 8.00 8dd745f546e58c2c1014b05cb59a7b29 BSS 0x2c000 0x255 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x2d000 0x200 0x200 4.27 dd6bdda0840264dd36df36d1d6d3c93c .tls 0x2e000 0x4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x2f000 0x18 0x200 0.20 194a1236d8d346ed37e56d37571e2196 .reloc 0x30000 0x1c0 0x200 5.60 1c4ab4b8798b59c4a0a0334a6cbf3122 .rsrc 0x31000 0x78 0x200 0.42 b5d4ff36683bc2f3edcf97b0dd597eb5 ( 4 imports ) > kernel32.dll: GetCurrentThreadId, ExitProcess, RtlUnwind, RaiseException, GetCommandLineA, TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, FreeLibrary, HeapFree, HeapReAlloc, HeapAlloc, GetProcessHeap > kernel32.dll: LoadLibraryA, GetProcAddress > gdi32.dll: SetTextColor > user32.dll: GetDC ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0A3C483A0085FA7EA49102443A166A00393B5FDE Code:
ATTFilter Datei lphclsej0e93w.exe Ergebnis: 4/36 (11.11%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - (Suspicious) - DNAScan ClamAV - - - DrWeb - - - eSafe - - Suspicious File eTrust-Vet - - - Ewido - - - F-Prot - - - F-Secure - - - Fortinet - - - GData - - - Ikarus - - - K7AntiVirus - - - Kaspersky - - - McAfee - - - Microsoft - - TrojanDownloader:Win32/Renos.gen!AQ NOD32v2 - - - Norman - - - Panda - - - PCTools - - - Prevx1 - - Malicious Software Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - TrendMicro - - - VBA32 - - - ViRobot - - - VirusBuster - - - Webwasher-Gateway - - - weitere Informationen MD5: d5c215bd13f4ae57f07cc82cea7da85d SHA1: 3be3077f61b35effcdb59ce0515f0b79b316c3d6 SHA256: a3e8d3eaacb65a64ce9c2a6318c38f627dd96bd7a8805d94ba7af72555a92b57 SHA512: 37f19581445060887587fb7f9f5aa06abedca2051773c289fc60e6090ffc951ebd81c1895a582db9db857c8364ac17233aaf08c2c37f5edba87c596a14880471 Code:
ATTFilter Datei rhcgsej0e93w.exe Ergebnis: 9/35 (25.72%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.9.0 2008.08.08 - AntiVir 7.8.1.19 2008.08.09 - Authentium 5.1.0.4 2008.08.09 - Avast 4.8.1195.0 2008.08.08 - AVG 8.0.0.156 2008.08.09 Generic11.HJK BitDefender 7.2 2008.08.09 - CAT-QuickHeal 9.50 2008.08.08 (Suspicious) - DNAScan ClamAV 0.93.1 2008.08.09 - eSafe 7.0.17.0 2008.08.07 - eTrust-Vet 31.6.6021 2008.08.08 - Ewido 4.0 2008.08.09 - F-Prot 4.4.4.56 2008.08.08 - F-Secure 7.60.13501.0 2008.08.09 Trojan.Win32.Monder.gen Fortinet 3.14.0.0 2008.08.09 W32/Monder.ZDC!tr GData 2.0.7306.1023 2008.08.09 Trojan.Win32.Monder.gen Ikarus T3.1.1.34.0 2008.08.09 Virus.Trojan.Win32.Monder K7AntiVirus 7.10.408 2008.08.09 - Kaspersky 7.0.0.125 2008.08.09 Trojan.Win32.Monder.gen McAfee 5357 2008.08.08 - Microsoft 1.3807 2008.08.09 Program:Win32/Antivirus2008 NOD32v2 3341 2008.08.08 - Norman 5.80.02 2008.08.08 - Panda 9.0.0.4 2008.08.09 - PCTools 4.4.2.0 2008.08.09 - Prevx1 V2 2008.08.09 Malicious Software Rising 20.56.41.00 2008.08.08 - Sophos 4.32.0 2008.08.09 - Sunbelt 3.1.1538.1 2008.08.09 - Symantec 10 2008.08.09 - TheHacker 6.2.96.395 2008.08.08 - TrendMicro 8.700.0.1004 2008.08.08 - VBA32 3.12.8.3 2008.08.09 - ViRobot 2008.8.8.1329 2008.08.08 - VirusBuster 4.5.11.0 2008.08.09 - Webwasher-Gateway 6.6.2 2008.08.09 - weitere Informationen File size: 790528 bytes MD5...: 5d26da4de5c59fd2e4f2eb66626d0160 SHA1..: a9d1e4d3d33753071cdb33e1a4fb50b961f627d6 SHA256: 061d3d3c5c433475ce4021ee7fa79ac4e4f32514ee4a8b83af611d0cbc06e737 SHA512: d4fb4bc0d92cb58b09c2e698a281e1a9a0145a29642261fb3b7add7bd21ac68a 29d5347c0890ae619bc021e2c033e4edeb0e858d681750fb4bd888e57f93655c PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401bd7 timedatestamp.....: 0x489c6d2c (Fri Aug 08 15:58:36 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x96fdec 0x4000 5.10 abe9e076c8ca5e676946e080f8f1e3c4 .rdata 0x971000 0xadc64 0xae000 7.99 3af97df68ee3967fda003dc118ea61e9 .rsrc 0xa1f000 0xd000 0xd000 4.18 716295caba74e83b629eb981e3f96b1f .pack32 0xa2c000 0xd5c 0x1000 0.89 d7b6b9ba844af8d248b75a3c70ed3b80 ( 2 imports ) > kernel32.dll: CreateDirectoryExA, ReadConsoleInputExA, IsBadWritePtr, FlushConsoleInputBuffer, ReadProcessMemory, FindNextFileW, Process32NextW > user32.dll: DdeAccessData, GetClassInfoA, IsHungAppWindow, GetDlgItemTextW, CreateMDIWindowA, SetDebugErrorLevel, GetDlgItem, FrameRect ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D1CF9C8800A2395510800C311D7A5800E822021B Code:
ATTFilter Datei svchost.exe Ergebnis: 11/36 (30.56%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.9.0 2008.08.08 - AntiVir 7.8.1.19 2008.08.09 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2008.08.09 - Avast 4.8.1195.0 2008.08.08 - AVG 8.0.0.156 2008.08.09 Pakes BitDefender 7.2 2008.08.09 - CAT-QuickHeal 9.50 2008.08.08 - ClamAV 0.93.1 2008.08.09 - DrWeb 4.44.0.09170 2008.08.09 - eSafe 7.0.17.0 2008.08.07 - eTrust-Vet 31.6.6021 2008.08.08 - Ewido 4.0 2008.08.09 - F-Prot 4.4.4.56 2008.08.08 - F-Secure 7.60.13501.0 2008.08.09 - Fortinet 3.14.0.0 2008.08.09 - GData 2.0.7306.1023 2008.08.09 Trojan-Downloader.Win32.Small.aapn Ikarus T3.1.1.34.0 2008.08.09 Trojan.Crypt.XPACK K7AntiVirus 7.10.408 2008.08.09 - Kaspersky 7.0.0.125 2008.08.09 Trojan-Downloader.Win32.Small.aapn McAfee 5357 2008.08.08 - Microsoft 1.3807 2008.08.09 - NOD32v2 3341 2008.08.08 - Norman 5.80.02 2008.08.08 - Panda 9.0.0.4 2008.08.09 Suspicious file PCTools 4.4.2.0 2008.08.09 - Prevx1 V2 2008.08.09 Cloaked Malware Rising 20.56.41.00 2008.08.08 - Sophos 4.32.0 2008.08.09 Mal/EncPk-EI Sunbelt 3.1.1538.1 2008.08.09 - Symantec 10 2008.08.09 - TheHacker 6.2.96.395 2008.08.08 - TrendMicro 8.700.0.1004 2008.08.08 - VBA32 3.12.8.3 2008.08.09 suspected of Malware-Cryptor.Win32.General.2 ViRobot 2008.8.8.1329 2008.08.08 - VirusBuster 4.5.11.0 2008.08.09 Trojan.Crypt.PL Webwasher-Gateway 6.6.2 2008.08.09 Trojan.Crypt.XPACK.Gen weitere Informationen File size: 25088 bytes MD5...: 281391922c3f5466e970cedc92c93ea9 SHA1..: ecd2f0ec1113d75e885ee28c72aa640b4c7d0bab SHA256: 5a08874f23c7c26b5f6ab97077ed807ef286a7f49715e4a88c9e586e5a5f061f SHA512: 8ccc50c2b05e5925257b38e0d44fa697eb8832c0470fc05e5667a4cea792a51f 2eebf6a7535807547ff781380fcf72b05a487d9130fe147f81d8efc92cbcf186 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4010a3 timedatestamp.....: 0x47f48d4d (Thu Apr 03 07:54:53 2008) machinetype.......: 0x14c (I386) ( 2 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x103c 0x1200 2.84 f0a6c524a61fa0d470a7e71a6608a18f .data 0x3000 0x12f94 0x4c00 7.76 8cbed7d1834462e51ca853b73a83a4b6 ( 1 imports ) > comctl32.dll: ImageList_GetIconSize, ImageList_Draw, DrawStatusTextW, CreateToolbar, ImageList_Add, ImageList_DrawEx, ImageList_DragEnter, ImageList_GetIcon, CreateUpDownControl ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=91D5316000329F1B62ED003B3C2E07003F9AD1BC Code:
ATTFilter Datei pphclsej0e93w.exe Ergebnis: 26/36 (72.23%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.9.0 2008.08.08 Win-Trojan/Fackav.94208 AntiVir 7.8.1.19 2008.08.09 TR/Dldr.FraudLoa.NC Authentium 5.1.0.4 2008.08.09 - Avast 4.8.1195.0 2008.08.08 - AVG 8.0.0.156 2008.08.09 Agent.ZAK BitDefender 7.2 2008.08.09 Dropped:BAT.AutoDelete.A CAT-QuickHeal 9.50 2008.08.08 FraudTool.MalwareProtector.d (Not a Virus) ClamAV 0.93.1 2008.08.09 BAT.AutoDelete.A DrWeb 4.44.0.09170 2008.08.09 Trojan.Fakealert.949 eSafe 7.0.17.0 2008.08.07 - eTrust-Vet 31.6.6021 2008.08.08 Win32/FakeAlert.AL Ewido 4.0 2008.08.09 Not-A-Virus.PUP.MalwareProtector.d F-Prot 4.4.4.56 2008.08.08 - F-Secure 7.60.13501.0 2008.08.09 FraudTool.Win32.MalwareProtector.d Fortinet 3.14.0.0 2008.08.09 Misc/MalwareProtector GData 2.0.7306.1023 2008.08.09 - Ikarus T3.1.1.34.0 2008.08.09 BAT.AutoDelete.A K7AntiVirus 7.10.408 2008.08.09 not-a-virus:FraudTool.Win32.MalwareProtector.d Kaspersky 7.0.0.125 2008.08.09 not-a-virus:FraudTool.Win32.MalwareProtector.d McAfee 5357 2008.08.08 FakeAlert-AQ Microsoft 1.3807 2008.08.09 Trojan:Win32/XPAntiVirus.C NOD32v2 3341 2008.08.08 Win32/TrojanDownloader.FakeAlert.FK Norman 5.80.02 2008.08.08 W32/WinFixer.CBQ Panda 9.0.0.4 2008.08.09 Application/AntivirusXP2008 PCTools 4.4.2.0 2008.08.09 RogueAntiSpyware.AntivirusXP2008 Prevx1 V2 2008.08.09 Cloaked Malware Rising 20.56.41.00 2008.08.08 Trojan.Win32.Undef.ive Sophos 4.32.0 2008.08.09 Troj/FakeAle-ES Sunbelt 3.1.1538.1 2008.08.09 - Symantec 10 2008.08.09 XPAntivirus TheHacker 6.2.96.395 2008.08.08 - TrendMicro 8.700.0.1004 2008.08.08 TROJ_FAKEALER.HO VBA32 3.12.8.3 2008.08.09 - ViRobot 2008.8.8.1329 2008.08.08 - VirusBuster 4.5.11.0 2008.08.09 - Webwasher-Gateway 6.6.2 2008.08.09 Trojan.Dldr.FraudLoa.NC weitere Informationen File size: 94208 bytes MD5...: bbc8fa3899a801ce9ea1f77bcc161662 SHA1..: eefa3e03424239ec0b53006336f2f9714434aa1a SHA256: c8050919cffaf4018875b4980cbb1eb0c717fa00f98afcbd99f245694b6afff6 SHA512: e0f92e768b704ddc6b834655624a34bad1d17b43da4710138cf905fe344f65b8 3872ca9a2dd54dc34b4fdc68720176a33caac602a415e01fa142bbd62024e1c1 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x406df5 timedatestamp.....: 0x489c5376 (Fri Aug 08 14:08:54 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xda92 0xe000 6.56 36c45dcede157a764a7b5959a20fc4bf .rdata 0xf000 0x2df4 0x3000 4.87 901149a62bb2def63a4308ba01db3b69 .data 0x12000 0x2ac0 0x2000 2.17 9a5b1b0544a0ba83777a36cb94f62677 .tls 0x15000 0x7 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x16000 0x1e20 0x2000 5.42 c257661d6c95eb7c3b5231af545a237d ( 5 imports ) > KERNEL32.dll: WaitForSingleObject, CreateMutexA, Sleep, TerminateProcess, GetTickCount, FindFirstFileA, FindClose, GetTempPathA, lstrcpyA, CreateFileA, WriteFile, CloseHandle, lstrcatA, GetModuleFileNameA, GetEnvironmentVariableA, GetDriveTypeA, GetVolumeInformationA, HeapAlloc, HeapFree, UnmapViewOfFile, OpenFileMappingA, MapViewOfFile, GetModuleHandleA, GetLastError, LoadLibraryA, GetProcAddress, SetStdHandle, GetOEMCP, IsBadCodePtr, IsBadReadPtr, FindResourceA, GetCurrentProcess, SizeofResource, LockResource, LoadResource, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetACP, GetLocaleInfoA, GetThreadLocale, InterlockedExchange, lstrlenA, InterlockedDecrement, GetStringTypeW, GetStringTypeA, GetSystemInfo, VirtualProtect, GetCurrentProcessId, QueryPerformanceCounter, SetUnhandledExceptionFilter, VirtualQuery, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, LocalFree, EnterCriticalSection, LeaveCriticalSection, InterlockedIncrement, GetSystemTimeAsFileTime, GetStartupInfoA, GetCommandLineA, RtlUnwind, ExitProcess, HeapReAlloc, LCMapStringA, LCMapStringW, GetCPInfo, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, HeapSize, TlsAlloc, SetLastError, GetCurrentThreadId, TlsFree, TlsSetValue, TlsGetValue, SetFilePointer, FlushFileBuffers, GetStdHandle > ADVAPI32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCloseKey > SHELL32.dll: ShellExecuteA > ole32.dll: OleRun, CoInitialize, CoCreateInstance > OLEAUT32.dll: -, -, -, -, -, -, -, - ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=80A554FC00389FB1701801BECADF06008DCBE955 Code:
ATTFilter Datei iexplorer.exe Ergebnis: 8/36 (22.23%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.9.0 2008.08.08 - AntiVir 7.8.1.19 2008.08.09 DR/Delphi.Gen Authentium 5.1.0.4 2008.08.09 - Avast 4.8.1195.0 2008.08.08 - AVG 8.0.0.156 2008.08.09 Win32/Heur BitDefender 7.2 2008.08.09 - CAT-QuickHeal 9.50 2008.08.08 - ClamAV 0.93.1 2008.08.09 - DrWeb 4.44.0.09170 2008.08.09 Trojan.MulDrop.18267 eSafe 7.0.17.0 2008.08.07 - eTrust-Vet 31.6.6021 2008.08.08 - Ewido 4.0 2008.08.09 - F-Prot 4.4.4.56 2008.08.08 - F-Secure 7.60.13501.0 2008.08.09 - Fortinet 3.14.0.0 2008.08.09 - GData 2.0.7306.1023 2008.08.09 - Ikarus T3.1.1.34.0 2008.08.09 Downloader.Delphi K7AntiVirus 7.10.408 2008.08.09 - Kaspersky 7.0.0.125 2008.08.09 - McAfee 5357 2008.08.08 - Microsoft 1.3807 2008.08.09 VirTool:Win32/DelfInject.gen!AM NOD32v2 3341 2008.08.08 a variant of Win32/Injector.CA Norman 5.80.02 2008.08.08 - Panda 9.0.0.4 2008.08.09 - PCTools 4.4.2.0 2008.08.09 - Prevx1 V2 2008.08.09 Malicious Software Rising 20.56.41.00 2008.08.08 - Sophos 4.32.0 2008.08.09 - Sunbelt 3.1.1538.1 2008.08.09 - Symantec 10 2008.08.09 - TheHacker 6.2.96.395 2008.08.08 - TrendMicro 8.700.0.1004 2008.08.08 - VBA32 3.12.8.3 2008.08.09 - ViRobot 2008.8.8.1329 2008.08.08 - VirusBuster 4.5.11.0 2008.08.09 - Webwasher-Gateway 6.6.2 2008.08.09 Trojan.Dropper.Delphi.Gen weitere Informationen File size: 29696 bytes MD5...: 157f604376aea90af48082e229d4c55e SHA1..: 0149a9eb3b0d33dad05dedf28c3059889cd6c73b SHA256: 415d7042d3f70fa0302aa0cc77339eb1639ce6523c4afdc98c11f3db70c0277d SHA512: bdbc738b8fbcd87443fbfb5856d668b4a04b653177538b4c6ecf847bed3725a6 e8321a03cd1cb99a6050fbcf0c056d9d2eb3d211c82961df3ec9e0961e5fcf39 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x202240 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x1450 0x1600 6.06 50ba97808b11a1e182a5f47780b3c326 DATA 0x3000 0x5078 0x5200 7.95 579b274f46e6270e7fa4a62d2496a7b5 BSS 0x9000 0x255 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0xa000 0x200 0x200 4.04 817c381c774fb84001e980b9a0df6325 .tls 0xb000 0x4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0xc000 0x18 0x200 0.20 3513355d908e1e90946c81cd71f650b6 .reloc 0xd000 0x1c0 0x200 5.54 ded59fef6b2dc016d5adec27aca97b3b .rsrc 0xe000 0x78 0x200 0.40 09a545128d00c99d8241e48b9a5d2fe2 ( 4 imports ) > kernel32.dll: GetCurrentThreadId, ExitProcess, RtlUnwind, RaiseException, GetCommandLineA, TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, FreeLibrary, HeapFree, HeapReAlloc, HeapAlloc, GetProcessHeap > kernel32.dll: LoadLibraryA, GetProcAddress > gdi32.dll: SetTextColor > user32.dll: GetDC ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AA1A930A00000AC074D500946925EC000A336375 Code:
ATTFilter Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1034 Windows 5.1.2600 Service Pack 2 20:07:25 09.08.2008 mbam-log-8-9-2008 (20-07-25).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|) Durchsuchte Objekte: 214473 Laufzeit: 1 hour(s), 11 minute(s), 0 second(s) Infizierte Speicherprozesse: 5 Infizierte Speichermodule: 4 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 9 Infizierte Dateiobjekte der Registrierung: 4 Infizierte Verzeichnisse: 12 Infizierte Dateien: 26 Infizierte Speicherprozesse: C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe (Rogue.Multiple) -> Unloaded process successfully. C:\WINDOWS\msauc.exe (Trojan.Agent) -> Unloaded process successfully. C:\WINDOWS\system32\lphclsej0e93w.exe (Trojan.FakeAlert) -> Unloaded process successfully. C:\WINDOWS\system32\pphclsej0e93w.exe (Trojan.FakeAlert) -> Unloaded process successfully. C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully. Infizierte Speichermodule: C:\Programme\rhcgsej0e93w\msvcp71.dll (Rogue.Multiple) -> Delete on reboot. C:\Programme\rhcgsej0e93w\MFC71.dll (Rogue.Multiple) -> Delete on reboot. C:\Programme\rhcgsej0e93w\msvcr71.dll (Rogue.Multiple) -> Delete on reboot. C:\WINDOWS\system32\blphclsej0e93w.scr (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcgsej0e93w (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\rhcgsej0e93w (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcgsej0e93w (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iexplorer (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsass driver (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphclsej0e93w (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger) -> Data: kduuu.exe -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Programme\rhcgsej0e93w (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\kduuu.exe (Rootkit.DNSChanger) -> Delete on reboot. C:\WINDOWS\system32\wpx11.cpx (Trojan.Agent) -> Quarantined and deleted successfully. D:\Programme\The KMPlayer\KIconLib.dll (Backdoor.Bot) -> Quarantined and deleted successfully. C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Programme\rhcgsej0e93w\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Programme\rhcgsej0e93w\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Programme\rhcgsej0e93w\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Programme\rhcgsej0e93w\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Programme\rhcgsej0e93w\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Programme\rhcgsej0e93w\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Programme\rhcgsej0e93w\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\iexplorer.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\msauc.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wpx12.cpx (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lich.dat (Stolen.Data) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phclsej0e93w.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lphclsej0e93w.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blphclsej0e93w.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pphclsej0e93w.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. |
10.08.2008, 13:47 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Plötzlich Antivirus und blauer Desktop mit FehlermeldungZitat:
Bevor Du Deine Platte formatierst und Windows neu installierst, solltest Du aber noch mal mit mit diesem Tool den MBR auf Befall überprüfen. Poste die Ausgabe.
__________________ Logfiles bitte immer in CODE-Tags posten |
17.08.2008, 14:55 | #5 |
| Plötzlich Antivirus und blauer Desktop mit Fehlermeldung [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA [/edit] |
24.08.2008, 14:25 | #6 |
| Plötzlich Antivirus und blauer Desktop mit Fehlermeldung So, nach meinem Urlaub hab ich das jetzt gemacht Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Ich habe keine Windows-CD. Ich glaube, die war bei mir nicht dabei. Ich habe aber nachdem ich meinen Pc gekauft hatte, auf Anraten ein Backup gemacht und es auf eine CD gebrannt. Kann ich diese CD dann benutzen? Ich hab sowas noch nie gemacht. |
24.08.2008, 14:28 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Das sollte ne sog. Recovery-CD sein, ja die kannst Du benutzen. Was sagt das Handbuch zum Computer denn dazu?
__________________ Logfiles bitte immer in CODE-Tags posten |
24.08.2008, 15:15 | #8 |
| Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Wenn es das jetzt ist, steht da folgendes: Wiederherstellung mit Sicherheitskopie Anwender können eine zuvor (wie unter Anfertigung von Sicherungskopie beschrieben) erstellte Sicherungskopie zur Wiederherstellung von Festplatte, CD oder DVD aus verwenden. 1 Starten Sie Windows XP. 2 Drücken Sie die Tastenkombination <Alt> + <F10>, um das Programm Acer eRecovery Management zu öffnen. 3 Geben Sie das Kennwort ein, um fortzufahren. 4 Wählen Sie im Acer eRecovery Management-Fenster Recovery actions und klicken Sie auf Next. 5 Wählen Sie die gewünschte Wiederherstellungsaktion und folgen Sie den Anweisungen auf dem Bildschirm, um die Wiederherstellung durchzuführen. Eine Windows CD war definitiv nicht dabei, ich hab alles nochmal durchgeschaut. |
24.08.2008, 17:03 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Das ist Acer. Zum K..en ist das, ich kenn das, bei meinem Notebook von Acer war auch keine Windows-CD dabei. Der Anwender muß optimalerweise schon beim ersten Einschalten eine Recovery-DVD brennen, sonst ist es so ziemlich essig mit dem Neuaufsetzen. Wenn das mit dem Brennen der Recovery-CD bei Dir nicht klappt, wirst DU Dir notfall eine Windows-CD von nem Nachbarn oder so ausleihen müssen.
__________________ Logfiles bitte immer in CODE-Tags posten |
24.08.2008, 17:38 | #10 |
| Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Okay. Danke für die Hilfe schon mal =) Eine Frage habe ich noch; Ich werde das jetzt erstmal mit dieser Sicherheitskopie versuchen. Ich hab sie, glaube ich, gleich am ersten Tag gemacht. Geh ich dann nach der Anleitung im Handbuch oder nach der hier im Forum (oder eben zu der Seite, wo der Link hinführt)? |
24.08.2008, 18:11 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Nach der im Handbuch, m.E. ist die Anleitung hier im Forum für normale Windows-CD'.
__________________ Logfiles bitte immer in CODE-Tags posten |
27.08.2008, 10:09 | #12 |
| Plötzlich Antivirus und blauer Desktop mit Fehlermeldung So, ich habe das dann jetzt gemacht und das System wieder hergestellt. Jetzt wurde nur C: gemacht, D: ist geblieben, wie es war... Gibt es sonst noch etwas zutun? Außer die Sachen, die in dem Thread zur Neuaufsetzung stehen? |
27.08.2008, 16:22 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Eigentlich nicht. Die Programme etc. und so installieren sollte Dir klar sein. Sind schon alle relevanten Updates drauf? Sprich mindestens das SP2 für WinXP, vorher solltest Du nicht ins Internet. Auf der D-Partition, sind dort noch ausführbar Dateien oder nur reine Datendateien wie Musik, Videos und so?
__________________ Logfiles bitte immer in CODE-Tags posten |
27.08.2008, 17:12 | #14 |
| Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Ja, ich habe gleich das SP3 installiert und all die Schritte befolgt, die in dem Thread stehen. Auf D sind Hauptsächlich Bilder, Musik etc. ja. Ich wüsste auch irgendwie nicht, wie ich diese Partition jetzt komplett löschen könnte oder so. Weil über die CD geht es ja nicht. |
27.08.2008, 17:15 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Die Datenpartition mußt Du janicht löschen, nur evtl auf ihr enthaltene ausführbaren Dateien löschen.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Plötzlich Antivirus und blauer Desktop mit Fehlermeldung |
antivirus, application, avast!, bho, bildschirm, browser, desktop, drivers, einstellungen, firefox, google, hijack, hkus\s-1-5-18, iexplorer.exe, immer wieder, internet, internet explorer, logfile, magix, monitor, mozilla, mozilla firefox, programm, rundll, scan, senden, software, spyware, system, unterschiede, urlsearchhook, viren, warum, windows, windows xp, windows\system32\drivers |