"windows warning message", VBS.Agent.1002....?

Ellinida · 25.08.2008, 20:11

Hallo Leute, ich bins mal wieder

Meine Schwester hat irgendeinen oder sogar mehrere Viren eingefangen.. hab jetzt Antivirus durchlaufen lassen und mir das Programm "Malewarebyte" heruntergeladen und auch einen scan durchgeführt..
Gefunden habe ich mehrere Viren / Trojaner... Hab hier im Forum auch schon mehr darüber gelesen..
Wollte nun mein Hicjack-Log posten damit ihr mir helfen könnt um zu sehen ob ich noch unerwünschte Viren drauf hab oder nich...
Wäre super wenn ihr mir dabei helfen könntet!
Danke schonmal!!

Ach ja.. Und dieses blöde Desktop - Bild wo drauf steht "Windows warning message......Please activate your antivirus software to clean your computer", krieg ich auch nich weg... Denn wenn ich versuche die "Anzeige" aufzurufen fehlen einige Kategorien wo man das Desktopbild aussuchen kann etc...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:13, on 25.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [lphcak2j0er3n] C:\WINDOWS\system32\lphcak2j0er3n.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxbx_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbxcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

--
End of file - 5411 bytes

Ellinida · 25.08.2008, 21:01

Hier schicke ich noch die Reporte von dem Antivirus Scan hinterher:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 24. August 2008 21:29

Es wird nach 1568528 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: NINA-PC

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 23.07.2008 20:27:17
AVSCAN.DLL : 8.1.4.0 48897 Bytes 23.07.2008 20:27:17
LUKE.DLL : 8.1.4.5 164097 Bytes 23.07.2008 20:27:17
LUKERES.DLL : 8.1.4.0 12545 Bytes 23.07.2008 20:27:17
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 20:24:15
ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 17:51:01
ANTIVIR3.VDF : 7.0.6.59 242688 Bytes 23.08.2008 19:11:27
Engineversion : 8.1.1.23
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.68 315770 Bytes 18.08.2008 17:47:56
AESCN.DLL : 8.1.0.23 119156 Bytes 23.07.2008 20:24:48
AERDL.DLL : 8.1.0.20 418165 Bytes 23.07.2008 20:24:47
AEPACK.DLL : 8.1.2.1 364917 Bytes 23.07.2008 20:24:45
AEOFFICE.DLL : 8.1.0.22 192890 Bytes 18.08.2008 17:47:55
AEHEUR.DLL : 8.1.0.50 1388918 Bytes 18.08.2008 17:47:53
AEHELP.DLL : 8.1.0.15 115063 Bytes 23.07.2008 20:24:37
AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 17:47:45
AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 08:12:43
AECORE.DLL : 8.1.1.8 172406 Bytes 01.08.2008 08:12:41
AEBB.DLL : 8.1.0.1 53617 Bytes 23.07.2008 07:19:07
AVWINLL.DLL : 1.0.0.12 15105 Bytes 23.07.2008 20:27:17
AVPREF.DLL : 8.0.2.0 38657 Bytes 23.07.2008 20:27:17
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 08:12:39
AVREG.DLL : 8.0.0.1 33537 Bytes 23.07.2008 20:27:17
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 23.07.2008 20:27:17
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 23.07.2008 20:27:17
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 23.07.2008 20:27:15
RCTEXT.DLL : 8.0.52.0 86273 Bytes 23.07.2008 20:27:15

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, G:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 24. August 2008 21:29

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipIncTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lphcak2j0er3n.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '53' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt2.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Nina PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1Q70X6F\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\phcak2j0er3n.bmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.AAF
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [3]: Das System kann den angegebenen Pfad nicht finden.

Ende des Suchlaufs: Sonntag, 24. August 2008 22:02
Benötigte Zeit: 32:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

9829 Verzeichnisse wurden überprüft
224503 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
224500 Dateien ohne Befall
1235 Archive wurden durchsucht
2 Warnungen
2 Hinweise

Der Suchlauf nach versteckten Objekten wird begonnen.

tdssadw.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000002.dll
tdssl.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000004.dll
tdsslog.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000005.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.56
tdssmain.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000006.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.55
tdssserf.dll
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000007.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.59
tdssserv.sys
[0] Archivtyp: HIDDEN
[INFO] Die Datei ist nicht sichtbar.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20080824-221010-2105D20E\AVSCAN-00000009.sys
Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20080824-221439-5A68306C.avp' geschrieben.
c:\windows\system32\drivers\tdssserv.sys
[FUND]
[HINWEIS] Die Datei wurde gelöscht.
c:\windows\system32\tdssadw.dll
c:\windows\system32\tdssinit.dll
[INFO] Die Datei ist nicht sichtbar.
c:\windows\system32\tdssl.dll
c:\windows\system32\tdsslog.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdssmain.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdssserf.dll
[FUND]
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
c:\windows\system32\tdssservers.dat
[INFO] Die Datei ist nicht sichtbar.

Ende des Suchlaufs: Sonntag, 24. August 2008 22:14
Benötigte Zeit: 04:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
8 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
4 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
295284 Objekte wurden beim Rootkitscan durchsucht
14 Versteckte Objekte wurden gefunden

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipIncTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lphcak2j0er3n.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\lphcak2j0er3n.exe'
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'lphcak2j0er3n.exe' wird beendet
C:\WINDOWS\system32\lphcak2j0er3n.exe
[FUND] Ist das Trojanische Pferd TR/Peed.jsb.6
[HINWEIS] Die Datei wurde gelöscht.

Es wurden '28' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '53' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Sonntag, 24. August 2008 22:44
Benötigte Zeit: 02:25 Minute(n)

Der Suchlauf wurde abgebrochen!

73 Verzeichnisse wurden überprüft
322 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
319 Dateien ohne Befall
24 Archive wurden durchsucht
1 Warnungen
1 Hinweise

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipIncTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '25' Prozesse mit '25' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '53' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Anna.NINA-PC\Lokale Einstellungen\Temp\.tt3.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Litsa.NINA-PC\Lokale Einstellungen\Temp\.tt1.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Litsa.NINA-PC\Lokale Einstellungen\Temp\.tt2.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Nina PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1Q70X6F\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{B006A987-9D6F-4EA2-9209-2BBEB4F248A5}\RP5\A0000022.exe
[FUND] Ist das Trojanische Pferd TR/Peed.jsb.6
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\phcak2j0er3n.bmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.AAF
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdsslog.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.56
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdssmain.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.55
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdssserf.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.EQ.59
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: Montag, 25. August 2008 21:07
Benötigte Zeit: 1:25:25 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9818 Verzeichnisse wurden überprüft
224445 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
8 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
224436 Dateien ohne Befall
1232 Archive wurden durchsucht
2 Warnungen
8 Hinweise

erty · 25.08.2008, 21:17

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

Starte das Programm im abgesicherten Modus und wähle Option 2

Poste danach wie in der Anleitung beschrieben, das Ergebnis des rapports

Navilog1
Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
Wähle E für Englisch im Sprachenmenü
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Malwarebytes

MalwareBytes

alle logs posten

Ellinida · 26.08.2008, 12:31

Das hier ergab erstmal der Scan von F-Secure Blacklight!

08/26/08 13:07:46 [Info]: BlackLight Engine 1.0.67 initialized
08/26/08 13:07:46 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/26/08 13:07:49 [Note]: 7019 4
08/26/08 13:07:49 [Note]: 7005 0
08/26/08 13:08:01 [Note]: 7006 0
08/26/08 13:08:01 [Note]: 7011 676
08/26/08 13:08:01 [Note]: 7026 0
08/26/08 13:08:01 [Note]: 7026 0
08/26/08 13:08:06 [Note]: FSRAW library version 1.7.1024
08/26/08 13:23:44 [Note]: 2000 1012
08/26/08 13:23:44 [Note]: 2000 1012
08/26/08 13:23:44 [Note]: 2000 1012
08/26/08 13:29:02 [Note]: 7007 0

Ellinida · 26.08.2008, 12:50

Hie auch noch der Bericht von Navilog:

Search Navipromo version 3.6.5 began on 26.08.2008 at 13:12:58,10

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Litsa"

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO

Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***

*** Search folders in "C:\WINDOWS" ***

*** Search folders in "C:\Programme" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1\progra~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\All Users.WINDOWS\startm~1" ***

*** Search folders in "c:\dokume~1\alluse~1.win\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Litsa.NINA-PC\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Anna\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ANNA~1.NIN\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Nina\anwend~1" ***

*** Search folders in "C:\DOKUME~1\NINAPC~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Litsa.NINA-PC\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Anna\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\ANNA~1.NIN\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\Nina\lokale~1\anwend~1" ***

*** Search folders in "C:\DOKUME~1\NINAPC~1\lokale~1\anwend~1" ***

*** Search folders in "C:\Dokumente und Einstellungen\Litsa.NINA-PC\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\Anna\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\ANNA~1.NIN\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\Nina\startm~1\progra~1" ***

*** Search folders in "C:\DOKUME~1\NINAPC~1\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Litsa.NINA-PC\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Anna\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ANNA~1.NIN\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\Nina\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\NINAPC~1\lokale~1\anwend~1" *

*** Search files ***

*** Search specific Registry keys ***

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :

2)Heuristic Search :

* In "C:\WINDOWS\system32" :

* In "C:\Dokumente und Einstellungen\Litsa.NINA-PC\lokale~1\anwend~1" :

* In "C:\DOKUME~1\Anna\lokale~1\anwend~1" :

* In "C:\DOKUME~1\ANNA~1.NIN\lokale~1\anwend~1" :

* In "C:\DOKUME~1\Nina\lokale~1\anwend~1" :

* In "C:\DOKUME~1\NINAPC~1\lokale~1\anwend~1" :

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

*** Search completed on 26.08.2008 at 13:45:00,71 ***

Was mir übrigens noch aufgefallen war, ist dass als ich den Pc hochgefahren hab, auf dem Desktop nicht mehr dieses "windows warning message"-Bild dort aufgetaucht ist..
Trotzdem kann ich unter Anzeige nur noch 3 Rubriken (die da wären

esgins, Darstellungen, Einstellungen) finden, der Rest wo ich mein Hintergrundbild etc verändern kann, der fehlt:/

Hab auch gerade übrigens noch 3 Mal einen Trojaner gefunden über Antivir: TR/Crypt.EQ.59 bzw 53 und 52 am Ende

SmitfraudFix werde ich heute Abdend ausführen weil ich jetzt zur Arbeit muss!

Ellinida · 26.08.2008, 19:21

Hab nun das Programm SmitfraudFix laufen lassen!
Das Ergebnis sieht wie folgt aus:

SmitFraudFix v2.339

Scan done at 20:13:19,67, 26.08.2008
Run from C:\Dokumente und Einstellungen\Litsa.NINA-PC\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\drivers\svchost.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2ECA5CE0-7973-40AD-A895-43281B0030E5}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Als ich den Rechner dann neu gestartet hatte, funktionierte sogar die Anzeige wieder (also mit desktop, Bildschirmschoner etc!)!!

Ich werd nun noch einmal Antivir drüber laufen lassen..
Meint ihr die Sache ist dann endgültig gegessen? Oder seht ihr anhand der Berichte ob sich da noch einer versteckt?
Vielen Dank schonmal für den Tipp!

"windows warning message", VBS.Agent.1002....?

Plagegeister aller Art und deren Bekämpfung: "windows warning message", VBS.Agent.1002....?