|
Log-Analyse und Auswertung: Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.08.2008, 14:17 | #1 |
| Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? Hi, habe mir gestern nen virus zugezogen (Windows 2000). Neben der Uhr in der Taskleiste stand VIRUS ALERT!, auf die Festplatte konnte ich nicht mehr zugreifen. So wie in einigen threads dazu beschrieben, habe ich jetzt erst den CCleaner, dann Anti-Malware/Malwarebytes und HJT drüber laufen lassen. Jetzt ist VIRUS ALERT! verschwunden, Festplatte etc. alles wieder da. Da ich mich aber nicht auskenne im Lesen von logfiles bitte ich drum, das mal anzusehen. Ist jetzt wirklich alles von meinem Comp. Weg? Oder sollte ich noch was machen? Bei HJT habe ich jetzt noch nichts gefixt, nur gescant und hier gepostet. Wär nett wenn sichs jemand anschaut! Danke Logfile von Anti-Malware Code:
ATTFilter Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1076 Windows 5.0.2195 Service Pack 4 14:49:23 22.08.2008 mbam-log-08-22-2008 (14-49-23).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 76313 Laufzeit: 1 hour(s), 42 minute(s), 59 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 16 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 16 Infizierte Verzeichnisse: 7 Infizierte Dateien: 32 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINNT\vtqnxfko.dll (Trojan.Zlob) -> Delete on reboot. C:\WINNT\tsxngabr.dll (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{5f47fbeb-76df-4dca-a296-3db19eb75bec} (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{086f3adf-92ea-4415-877e-c7dd7dd64f14} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{46a4e9d9-b30e-452a-8157-dbbec8573b03} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7da39570-5fd2-4f18-94b4-20730cb3f727} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c0083180 (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{7e381d33-7a51-4322-901c-0053def986ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{fe004307-5611-4b28-a8d3-20897e8a045d} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{092ff302-89cb-45eb-8869-80c9c20503ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{ad13e85e-fd93-44df-9e30-99a2172ce453} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{0a0ac612-42c3-4e93-981d-54ba756bc15e} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0a0ac612-42c3-4e93-981d-54ba756bc15e} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vtqnxfko (Trojan.Zlob) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0\source (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\tsxngabr (Trojan.FakeAlert) -> Delete on reboot. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (h**p://www.google.com/) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (52200-270-2761005-09840) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINNT\privacy_danger (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINNT\privacy_danger\images (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\VSAdd-in (Adware.Agent) -> Quarantined and deleted successfully. C:\Programme\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\searchtoolbarcorp (Adware.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\searchtoolbarcorp\Toolbar Vision (Adware.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINNT\vtqnxfko.dll (Trojan.Zlob) -> Delete on reboot. C:\WINNT\emtb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\0.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\1.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\2.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINNT\privacy_danger\index.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINNT\privacy_danger\images\capt.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINNT\privacy_danger\images\danger.jpg (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINNT\privacy_danger\images\down.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINNT\privacy_danger\images\spacer.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\sex1.ico (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\PCHealthCenter\sex2.ico (Trojan.Fakealert) -> Quarantined and deleted successfully. C:\Programme\VAV\vav1.dat (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully. C:\Programme\VAV\vav.cpl (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully. C:\Programme\VAV\vav0.dat (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\searchtoolbarcorp\Toolbar Vision\WebHistory.txt (Adware.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\searchtoolbarcorp\Toolbar Vision\PageHistory.txt (Adware.Agent) -> Quarantined and deleted successfully. C:\WINNT\system32\sex1.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINNT\system32\sex2.ico (Malware.Trace) -> Quarantined and deleted successfully. C:\WINNT\system32\vav.cpl (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully. C:\WINNT\system32\__c00AD2A2.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINNT\tsxngabr.dll (Trojan.FakeAlert) -> Delete on reboot. C:\WINNT\tqwolser.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINNT\rafbsvnx.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINNT\twmxbsqrsqm.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dat68.tmp (Trojan.Agent) -> Quarantined and deleted successfully. Logfile von HJT Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:57:23, on 22.08.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\QuickTime\qttask.exe C:\Programme\WinampAlt\Winampa.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\ICQLite\ICQLite.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\WINNT\system32\internat.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackthis\HiJackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {81929DD6-FEEB-47E0-96F2-CB3350453149} - (no file) O3 - Toolbar: (no name) - {74DD705D-6834-439C-A735-A6DBE2677452} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: (no name) - {1B27DC3F-A487-486D-BBA8-CA45373B1457} - (no file) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\WinampAlt\Winampa.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [³] e O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [³] e O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/261ee5f358a781b22d06/netzip/RdxIE601_de.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - file://C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\SFX2.tmp\msxml3.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Windows NT Session Manager (SMSS) - Unknown owner - C:\WINNT\system\smss.exe (file missing) O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O24 - Desktop Component 0: Privacy Protection - (no file) -- End of file - 5366 bytes |
22.08.2008, 14:25 | #2 |
Administrator > Competence Manager | Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? Hallo kassandra_ und
__________________Es wurde schon einiges entfernt, jedoch sind noch einige Überbleibsel vorhanden: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\SFX2.tmp\msxml3.cab
Fixen/Löschen mit Hijackthis Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen: Code:
ATTFilter O2 - BHO: (no name) - {81929DD6-FEEB-47E0-96F2-CB3350453149} - (no file) O3 - Toolbar: (no name) - {74DD705D-6834-439C-A735-A6DBE2677452} - (no file) O3 - Toolbar: (no name) - {1B27DC3F-A487-486D-BBA8-CA45373B1457} - (no file) O4 - HKLM\..\Run: [³] e O4 - HKCU\..\Run: [³] e O23 - Service: Windows NT Session Manager (SMSS) - Unknown owner - C:\WINNT\system\smss.exe (file missing) O24 - Desktop Component 0: Privacy Protection - (no file) Der Rechner startet nun neu...
__________________ |
22.08.2008, 14:40 | #3 |
| Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? O23 - Service: Windows NT Session Manager (SMSS) - Unknown owner - C:\WINNT\system\smss.exe (file missing)
__________________ssms.exe wird bei dir doppelt gestartet. einmal ausm ordner system32 und einmal ausm order sytem. das im system32 ist richtig, das andere scheint mir etwas suspekt. die datei sollteste mal bei virustotal.com (hier: http://www.virustotal.com/de/ ) hochladen und das ergebnis posten. O3 - Toolbar: (no name) - {74DD705D-6834-439C-A735-A6DBE2677452} - (no file) das ist auch nicht gut. wenn ich google trauen kann, handelt es sich bei der clsid in den klammern um ADSPY/Agent.AP.7 hast du antivir drauf? antivir sollte es eigentlich finden. evtl ist das auch nur ein rest edit: okay ich bin zu spät... |
22.08.2008, 14:54 | #4 |
| Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? Hi, hier das Ergebnis von VirusTotal, @sunny ich bin nicht sicher, hoffe so meintest du es: (@olle: ja hab antivir drauf) Datei msxml3.cab empfangen 2008.08.22 15:43:56 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.21.0 2008.08.22 - AntiVir 7.8.1.23 2008.08.22 - Authentium 5.1.0.4 2008.08.22 - Avast 4.8.1195.0 2008.08.22 - AVG 8.0.0.161 2008.08.22 - BitDefender 7.2 2008.08.22 - CAT-QuickHeal 9.50 2008.08.21 - ClamAV 0.93.1 2008.08.22 - DrWeb 4.44.0.09170 2008.08.22 - eSafe 7.0.17.0 2008.08.21 - eTrust-Vet 31.6.6040 2008.08.22 - Ewido 4.0 2008.08.22 - F-Prot 4.4.4.56 2008.08.21 - F-Secure 7.60.13501.0 2008.08.22 - Fortinet 3.14.0.0 2008.08.22 - GData 2.0.7306.1023 2008.08.20 - Ikarus T3.1.1.34.0 2008.08.22 - K7AntiVirus 7.10.423 2008.08.21 - Kaspersky 7.0.0.125 2008.08.22 - McAfee 5367 2008.08.21 - Microsoft 1.3807 2008.08.22 - NOD32v2 3380 2008.08.22 - Norman 5.80.02 2008.08.21 - Panda 9.0.0.4 2008.08.22 - PCTools 4.4.2.0 2008.08.22 - Prevx1 V2 2008.08.22 - Rising 20.58.42.00 2008.08.22 - Sophos 4.32.0 2008.08.22 - Sunbelt 3.1.1571.1 2008.08.22 - Symantec 10 2008.08.22 - TheHacker 6.3.0.6.058 2008.08.22 - TrendMicro 8.700.0.1004 2008.08.22 - VBA32 3.12.8.4 2008.08.22 - ViRobot 2008.8.22.1346 2008.08.22 - VirusBuster 4.5.11.0 2008.08.22 - Webwasher-Gateway 6.6.2 2008.08.22 - weitere Informationen File size: 559637 bytes MD5...: 5cd669543cdd1f00926648f329e033fe SHA1..: 4b3b822df2197f7b18cec3eaaa820611179f9707 SHA256: 3d8f55756b0ada03bd701be574dcc63df7b6c84731cc9ce6d362211915f737dd SHA512: e7f84380653fd37321c4fa7dc43f3435a4dd55f307e8343e31de8b1a11e30b6d 40c4fca8f217b47c23c44fa0b3326dec952547059638b165b24b2d93cb39484e PEiD..: - PEInfo: - packers (F-Prot): CAB |
22.08.2008, 15:00 | #5 |
Administrator > Competence Manager | Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? Genau so wollte ich es haben. Poste nun ein neues Hijacklog, damit ich sehen kann ob alles entfernt wurde.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
22.08.2008, 15:14 | #6 |
| Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? sieht nich ganz so aus... Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:11:03, on 22.08.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\QuickTime\qttask.exe C:\Programme\WinampAlt\Winampa.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\ICQLite\ICQLite.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\WINNT\system32\internat.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackthis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\WinampAlt\Winampa.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/261ee5f358a781b22d06/netzip/RdxIE601_de.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.studivz.net/photouploader/ImageUploader4.cab O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - file://C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\SFX2.tmp\msxml3.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Windows NT Session Manager (SMSS) - Unknown owner - C:\WINNT\system\smss.exe (file missing) O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O24 - Desktop Component 0: Privacy Protection - (no file) -- End of file - 5171 bytes |
22.08.2008, 15:26 | #7 |
Administrator > Competence Manager | Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? Da scheint sich irgendwo noch was zu verstecken. Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix
Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
22.08.2008, 16:01 | #8 |
| Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? Da ich Win 2000 habe, geht das mit dem Deaktivieren der Systemwiederherstellung nicht! Versuche es jetzt ohne! |
22.08.2008, 16:50 | #9 | ||
| Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? Vielen Dank schon einmal für die bisherige Hilfe. Habe nun verschiedene Download-Möglichkeiten von SmitFraudFix ausprobiert (über diesen Link. Wenn ich die Suche mit SmitFraud starte, heisst es nach ca. einer Minute: Zitat:
Bei http://downloads.securitycadets.com/SmitfraudFix.exe meldete sich übrigens gleich antivir: Zitat:
|
22.08.2008, 19:39 | #10 |
| Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? Hallo nochmal, habe nun hier das Kaspersky-log: Code:
ATTFilter ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Freitag, 22. August 2008 20:37:36 Betriebssystem: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 22/08/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 1000206 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: A:\ C:\ D:\ E:\ F:\ G:\ H:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 50227 Viren gefunden: 1 Infizierte Objekte gefunden: 1 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 02:19:30 Name des infizierten Objekts / Virusname / Letzte Aktion C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\SYSTEM.ALT Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINNT\system32\wbem\Repository\CIM.REP Das Objekt ist gesperrt übersprungen C:\WINNT\system32\i Infizierte Objekte: Trojan-Downloader.BAT.Ftp.ab übersprungen C:\WINNT\system32\CatRoot\SYSMAST.cbd Das Objekt ist gesperrt übersprungen C:\WINNT\system32\CatRoot\SYSMAST.cbk Das Objekt ist gesperrt übersprungen C:\WINNT\system32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\CATMAST.cbd Das Objekt ist gesperrt übersprungen C:\WINNT\system32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\CATMAST.cbk Das Objekt ist gesperrt übersprungen C:\WINNT\system32\Perflib_Perfdata_31c.dat Das Objekt ist gesperrt übersprungen C:\WINNT\security\logs\scepol.log Das Objekt ist gesperrt übersprungen C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINNT\Debug\ipsecpa.log Das Objekt ist gesperrt übersprungen C:\WINNT\Debug\oakley.log Das Objekt ist gesperrt übersprungen C:\WINNT\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINNT\CSC\00000001 Das Objekt ist gesperrt übersprungen C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF646F.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082220080823\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. @sunny: Was meinst Du dazu? |
22.08.2008, 19:45 | #11 | |
Administrator > Competence Manager | Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? Das sieht alles schon ganz gut aus, bis auf eine Datei: Versuche diese manuell zu löschen: Zitat:
Wenn es danach keine Probleme mehr mit dem PC gibt, sollte alles wieder in bester Ordnung sein.. Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
22.08.2008, 20:21 | #12 |
| Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? Alles wieder gut!! Juhu!! Ich danke dir!!! Echt spitze!!! :aplaus: Viele Grüße kassandra_ |
Themen zu Hatte (habe?) VIRUS ALERT! Sind alle Schädlinge weg? |
1.exe, 8.tmp, administrator, adobe, adware.agent, alert, avira, bho, browser, components, desktop, disabletaskmgr, document, einstellungen, explorer, festplatte, helper, hijack.displayproperties, hijack.drives, hijack.homepage, hijack.startmenu, hijack.taskmanager, hijackthis, internet, internet explorer, malware.trace, malwarebytes' anti-malware, nodrives, privacy protection, programme, quara, registrierungsschlüssel, rogue.link, software, stick, system, taskleiste, temp, trojan.downloader, uleadburninghelper, virus, virus alert, virus alert!, vista antivirus, windows, wmid |