| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Befall mit Antivirus XP 2008 und UPS-VirusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.09.2008, 09:51
| #46 |
| Gast |  Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, ich fange mit dem zweiten Teil an, weil ich gerade mittendrin stecke. Hier sind die Ergebnisse von Virustotal: 1. ...\Process.exe Code:
ATTFilter Datei Process.exe empfangen 2008.09.10 10:27:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 8/36 (22.23%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.10 Win-AppCare/PrcViewer.53248
AntiVir 7.8.1.28 2008.09.10 -
Authentium 5.1.0.4 2008.09.10 -
Avast 4.8.1195.0 2008.09.10 -
AVG 8.0.0.161 2008.09.09 -
BitDefender 7.2 2008.09.10 -
CAT-QuickHeal 9.50 2008.09.10 -
ClamAV 0.93.1 2008.09.10 Trojan.Killproc-1
DrWeb 4.44.0.09170 2008.09.10 Tool.Prockill
eSafe 7.0.17.0 2008.09.09 -
eTrust-Vet 31.6.6080 2008.09.09 -
Ewido 4.0 2008.09.09 -
F-Prot 4.4.4.56 2008.09.09 -
F-Secure 8.0.14332.0 2008.09.10 -
Fortinet 3.112.0.0 2008.09.10 Misc/PrcViewer
GData 19 2008.09.10 -
Ikarus T3.1.1.34.0 2008.09.10 -
K7AntiVirus 7.10.448 2008.09.09 -
Kaspersky 7.0.0.125 2008.09.10 -
McAfee 5380 2008.09.09 potentially unwanted program PrcViewer
Microsoft 1.3903 2008.09.10 -
NOD32v2 3429 2008.09.09 Win32/PrcView
Norman 5.80.02 2008.09.09 -
Panda 9.0.0.4 2008.09.09 Application/Processor
PCTools 4.4.2.0 2008.09.09 -
Prevx1 V2 2008.09.10 -
Rising 20.61.21.00 2008.09.10 -
Sophos 4.33.0 2008.09.10 -
Sunbelt 3.1.1616.1 2008.09.09 -
Symantec 10 2008.09.10 -
TheHacker 6.3.0.9.077 2008.09.10 Aplicacion/Processor.20
TrendMicro 8.700.0.1004 2008.09.10 -
VBA32 3.12.8.5 2008.09.09 -
ViRobot 2008.9.10.1370 2008.09.10 -
VirusBuster 4.5.11.0 2008.09.09 -
Webwasher-Gateway 6.6.2 2008.09.10 -
weitere Informationen
File size: 53248 bytes
MD5...: 7397f6ee4a9601a123b645c0cd428017
SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0
SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd83137b4cc39cd120de
SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5efbf1243b4d35fc
20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974cd3d2b107f08784
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x402b42
timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7bea 0x8000 6.52 c01fadec01aae81015745dad0ecda107
.rdata 0x9000 0x1dfc 0x2000 5.10 e5217bccc8786d801b7a78bb7cce029c
.data 0xb000 0x1fc8 0x1000 2.67 5ba738a705a45c4209cbffe7469d458a
.rsrc 0xd000 0x3c0 0x1000 0.99 0967ff97890b79a40016a44e82666655
( 3 imports )
> KERNEL32.dll: GetLastError, GetProcessAffinityMask, OpenProcess, Sleep, TerminateProcess, WaitForSingleObject, SetPriorityClass, lstrcmpiA, HeapFree, ResumeThread, SuspendThread, GetVersionExA, WideCharToMultiByte, HeapAlloc, CloseHandle, GlobalFree, GlobalAlloc, FileTimeToSystemTime, SystemTimeToFileTime, GetSystemTime, LocalFree, FormatMessageA, HeapSize, RtlUnwind, LCMapStringW, LCMapStringA, VirtualQuery, GetSystemInfo, SetProcessAffinityMask, LoadLibraryA, GetProcAddress, FreeLibrary, GetProcessHeap, GetCurrentProcess, ExitProcess, GetModuleHandleA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetACP, GetOEMCP, GetCPInfo, FlushFileBuffers, SetFilePointer, GetLocaleInfoA, VirtualProtect, SetStdHandle
> USER32.dll: CloseDesktop, EnumDesktopWindows, GetWindowThreadProcessId, PostMessageA, OpenDesktopA
> ADVAPI32.dll: LookupAccountSidA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, GetTokenInformation
( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=7397f6ee4a9601a123b645c0cd428017
Code:
ATTFilter Datei dumphive.exe empfangen 2008.09.10 10:41:54 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.10 -
AntiVir 7.8.1.28 2008.09.10 -
Authentium 5.1.0.4 2008.09.10 -
Avast 4.8.1195.0 2008.09.10 -
AVG 8.0.0.161 2008.09.10 -
BitDefender 7.2 2008.09.10 -
CAT-QuickHeal 9.50 2008.09.10 -
ClamAV 0.93.1 2008.09.10 -
DrWeb 4.44.0.09170 2008.09.10 -
eSafe 7.0.17.0 2008.09.09 -
eTrust-Vet 31.6.6080 2008.09.09 -
Ewido 4.0 2008.09.09 -
F-Prot 4.4.4.56 2008.09.09 -
F-Secure 8.0.14332.0 2008.09.10 -
Fortinet 3.112.0.0 2008.09.10 -
GData 19 2008.09.10 -
Ikarus T3.1.1.34.0 2008.09.10 -
K7AntiVirus 7.10.448 2008.09.09 -
Kaspersky 7.0.0.125 2008.09.10 -
McAfee 5380 2008.09.09 -
Microsoft 1.3903 2008.09.10 -
NOD32v2 3429 2008.09.09 -
Norman 5.80.02 2008.09.09 -
Panda 9.0.0.4 2008.09.09 -
PCTools 4.4.2.0 2008.09.09 -
Prevx1 V2 2008.09.10 -
Rising 20.61.22.00 2008.09.10 -
Sophos 4.33.0 2008.09.10 -
Sunbelt 3.1.1616.1 2008.09.09 -
Symantec 10 2008.09.10 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.10 -
VBA32 3.12.8.5 2008.09.09 -
ViRobot 2008.9.10.1370 2008.09.10 -
VirusBuster 4.5.11.0 2008.09.09 -
Webwasher-Gateway 6.6.2 2008.09.10 -
weitere Informationen
File size: 51200 bytes
MD5...: 21868b2d22c726d94d98f15825d4134b
SHA1..: b8ecd21f17fdd3845e0eb3c52496a1353a856523
SHA256: 4a0202e069e3c1029ecb1f72639a7e35ccca28e1a81a7ca08d5f9206b4dc9363
SHA512: a9de3cab356ed8db4ebd2e85dcc750cd5407bc2ba71485ebf0caca030997a73e
60b0006922d1e1cec434ca41e2b4dfcf98a0703098eaa5182f1b68860601a460
PEiD..: -
TrID..: File type identification
Win32 Executable Borland Delphi 5 (95.3%)
Win32 Executable Generic (1.8%)
Win32 Dynamic Link Library (generic) (1.6%)
Win16/32 Executable Delphi generic (0.4%)
Generic Win/DOS Executable (0.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40b950
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0xabc0 0xac00 6.48 01304cf4ffbd4f78380f899515cfbcbe
DATA 0xc000 0x278 0x400 2.65 7434f79940cdef9f3121ba435097d8d8
BSS 0xd000 0x89d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xe000 0x4ca 0x600 3.80 e4b6eec38fd508db504db8297db30dac
.tls 0xf000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x10000 0x18 0x200 0.19 3987dfe186b585643bf6ea40e6020713
.reloc 0x11000 0x8c8 0xa00 6.25 b6eec48c821befbee6be3e663637787f
.rsrc 0x12000 0x200 0x200 2.68 99c2f0c741c708bde1c81bcf2d24c7a4
( 6 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, WideCharToMultiByte, GetThreadLocale, GetStartupInfoA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
> user32.dll: GetKeyboardType, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> kernel32.dll: LocalFree, GetProcAddress, FreeLibrary, LoadLibraryA
( 0 exports )
Code:
ATTFilter Datei WS2Fix.exe empfangen 2008.09.10 10:47:27 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/36 (2.78%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.10 -
AntiVir 7.8.1.28 2008.09.10 -
Authentium 5.1.0.4 2008.09.10 -
Avast 4.8.1195.0 2008.09.10 -
AVG 8.0.0.161 2008.09.10 -
BitDefender 7.2 2008.09.10 -
CAT-QuickHeal 9.50 2008.09.10 -
ClamAV 0.93.1 2008.09.10 -
DrWeb 4.44.0.09170 2008.09.10 -
eSafe 7.0.17.0 2008.09.09 Suspicious File
eTrust-Vet 31.6.6080 2008.09.09 -
Ewido 4.0 2008.09.09 -
F-Prot 4.4.4.56 2008.09.09 -
F-Secure 8.0.14332.0 2008.09.10 -
Fortinet 3.112.0.0 2008.09.10 -
GData 19 2008.09.10 -
Ikarus T3.1.1.34.0 2008.09.10 -
K7AntiVirus 7.10.448 2008.09.09 -
Kaspersky 7.0.0.125 2008.09.10 -
McAfee 5380 2008.09.09 -
Microsoft 1.3903 2008.09.10 -
NOD32v2 3429 2008.09.09 -
Norman 5.80.02 2008.09.09 -
Panda 9.0.0.4 2008.09.09 -
PCTools 4.4.2.0 2008.09.09 -
Prevx1 V2 2008.09.10 -
Rising 20.61.22.00 2008.09.10 -
Sophos 4.33.0 2008.09.10 -
Sunbelt 3.1.1616.1 2008.09.09 -
Symantec 10 2008.09.10 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.10 -
VBA32 3.12.8.5 2008.09.09 -
ViRobot 2008.9.10.1370 2008.09.10 -
VirusBuster 4.5.11.0 2008.09.09 -
Webwasher-Gateway 6.6.2 2008.09.10 -
weitere Informationen
File size: 25600 bytes
MD5...: 49b5595b1824bea6d850e0ed08b53e43
SHA1..: 5e2b90a2e34bb130b76517890877cb273f5f37b2
SHA256: 8d38a9bf06dbfa27be241d8d342e6d4116a5b70ac79fc67623616485967a0a02
SHA512: bfa8156a8a2c19c885412a92958102fc03cc3a7a20a56fb6baa41c7697825830
1848dc10af611caec1272970df4f7c853d18f9cd665dc041150a62427c9e15db
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x411a90
timedatestamp.....: 0x4704197e (Wed Oct 03 22:36:46 2007)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x6000 0x5e00 7.85 82ffcbe21ddaae4263a732f81d4c003d
UPX2 0x12000 0x1000 0x200 1.94 89ce67bc066af333dd324989218d2e5a
( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> WS2_32.dll: WSCDeinstallProvider
( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=49b5595b1824bea6d850e0ed08b53e43
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
|
|
10.09.2008, 10:00
| #47 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus 4. ...\hpqEm1Sz.Ini
__________________Code:
ATTFilter 0 bytes size received / Se ha recibido un archivo vacio
Code:
ATTFilter 0 bytes size received / Se ha recibido un archivo vacio
Bis gleich Ulla |
|
10.09.2008, 10:36
| #48 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death,
__________________ist alles dabei, was Du von Virustotal brauchst? Ich habe vorher mit Aveng er die angegebenen Dateien gescannt; Dann aber festgestellt, dass Anti Vir in der Zwischenzeit vier Dateien gefunden hat, also ab in die Quarantäne, löschen: Anschließend habe ich Aveng er zum zweiten Mal durchlaufen lassen. Ich sende Dir beide Durchläufe. Ich habe immer noch beim Hoch- und Runterfahren das Fenster: "Warning ... ist infected". Und mein Schirmchen von Anti Vir ist verschwunden. Anti Vir ist aber aktiviert, ich habe es in die Taskleiste gepackt. Vielen Dank, dass Du hier weitermachen willst. - Ich bin heute ab ca. 18:00 Uhr wieder da. Bis dahin alles Gute und liebe Grüße Ulla Hier kommt der erste \avenger.txt Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\SYSTEM32\suzkaco32.dll" deleted successfully.
Error: file "C:\WINDOWS\TEMP\xcp7.tmp" not found!
Deletion of file "C:\WINDOWS\TEMP\xcp7.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\Temp\.ttC.tmp" deleted successfully.
File "C:\WINDOWS\system32\phcgsgj0eg4c.bmp" deleted successfully.
File "C:\WINDOWS\system32\lphcgsgj0eg4c.exe" deleted successfully.
File "C:\WINDOWS\system32\blphcgsgj0eg4c.scr" deleted successfully.
File "C:\WINDOWS\system32\29.tmp" deleted successfully.
File "C:\WINDOWS\system32\1C.tmp" deleted successfully.
File "C:\WINDOWS\system32\1B.tmp" deleted successfully.
File "C:\WINDOWS\system32\39.tmp" deleted successfully.
File "C:\WINDOWS\system32\tmp.reg" deleted successfully.
File "C:\Programme\JYODQVBJZ.scr" deleted successfully.
File "C:\Programme\AFBCGZ.scr" deleted successfully.
File "C:\Programme\JXDVSOXVDTXIH.scr" deleted successfully.
Error: file "C:\WINDOWS\Temp\xjn7.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\xjn7.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\QooBox\Quarantine\C\WINDOWS\system32\blphcgsgj0eg4c.scr.vir" not found!
Deletion of file "C:\QooBox\Quarantine\C\WINDOWS\system32\blphcgsgj0eg4c.scr.vir" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\System32\drivers\tcpsr.sys" not found!
Deletion of file "C:\WINDOWS\System32\drivers\tcpsr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\WINDOWS\SYSTEM32\suzkaco32.dll" not found!
Deletion of file "C:\WINDOWS\SYSTEM32\suzkaco32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\TEMP\xcp7.tmp" not found!
Deletion of file "C:\WINDOWS\TEMP\xcp7.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\Temp\.ttC.tmp" deleted successfully.
File "C:\WINDOWS\system32\phcgsgj0eg4c.bmp" deleted successfully.
File "C:\WINDOWS\system32\lphcgsgj0eg4c.exe" deleted successfully.
File "C:\WINDOWS\system32\blphcgsgj0eg4c.scr" deleted successfully.
Error: file "C:\WINDOWS\system32\29.tmp" not found!
Deletion of file "C:\WINDOWS\system32\29.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\1C.tmp" not found!
Deletion of file "C:\WINDOWS\system32\1C.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\1B.tmp" not found!
Deletion of file "C:\WINDOWS\system32\1B.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\39.tmp" not found!
Deletion of file "C:\WINDOWS\system32\39.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\tmp.reg" not found!
Deletion of file "C:\WINDOWS\system32\tmp.reg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Programme\JYODQVBJZ.scr" not found!
Deletion of file "C:\Programme\JYODQVBJZ.scr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Programme\AFBCGZ.scr" not found!
Deletion of file "C:\Programme\AFBCGZ.scr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Programme\JXDVSOXVDTXIH.scr" not found!
Deletion of file "C:\Programme\JXDVSOXVDTXIH.scr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\Temp\xjn7.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\xjn7.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\QooBox\Quarantine\C\WINDOWS\system32\blphcgsgj0eg4c.scr.vir" not found!
Deletion of file "C:\QooBox\Quarantine\C\WINDOWS\system32\blphcgsgj0eg4c.scr.vir" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\System32\drivers\tcpsr.sys" not found!
Deletion of file "C:\WINDOWS\System32\drivers\tcpsr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate
|
|
10.09.2008, 12:25
| #49 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, das Schirnchen von Anti Vir ist mit etwas Nachhilfe wieder da. Bis heute Abend Ulla |
|
10.09.2008, 16:13
| #50 | |||
  | Befall mit Antivirus XP 2008 und UPS-Virus Hi Langsam schwindet mein Glaube daran, deinen Rechner wieder flott zu kriegen... Starte nochmals The Avenger und gib folgendes im weissen Feld ein: Zitat:
Zitat:
Wenn du sie findest und das manuelle löschen nicht funzt, versuche es mit KillBox. Die Anleitung wie findest du im Link. Bitte ein weiteres mal Malwarebytes scannen lassen  Lass bitte auch noch eScan und SUPERAntiSpyware laufen. Mal Avira mit folgender Einstellung laufen lassen---> Klick Erstelle nun bitte ein RunScanner Log
__________________ Kein Support per PN Zitat:
|
|
10.09.2008, 17:48
| #51 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, ich freue mich, von Dir zu hören. Wollen wir schon aufgeben? Ich arbeite jetzt ersteinmal alles ab. Vorab folgendes: - Avenger habe ich durchlaufen lassen, Protokoll anbei. - Die Datei C:\WINDOWS\System32\drivers\tcpsr.sys ist nicht da. (Die Häckchen sind so gesetzt, dass alle Dateien sichtbar sind.) - Alle Dateien mit t... habe ich aufs Datum kontrolliert. Aus 2008 ist keine. - Es gibt aber eine Datei "Uad72.sys" vom 14.07.2008, 11:32 Uhr, Größe 31,5 KB . Genau zu diesem Zeitpunkt habe ich die UPS-ZIP-Datei geöffnet. Seit dieser Minute habe ich meine Probleme. Der Technische Support von AntiVir konnte mir damals nicht helfen. Diese Datei war weder zu löschen, zu kopieren, auszuschneiden, umzubenennen. Mit Bedauern haben sie dann damals gesagt, keine Datei, keine Analyse. Ich mach jetzt weiter mit MalwareBytes. Liebe Grüße Ulla Aven ger Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\WINDOWS\Temp\.ttC.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\.ttC.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\system32\phcgsgj0eg4c.bmp" deleted successfully.
File "C:\WINDOWS\system32\lphcgsgj0eg4c.exe" deleted successfully.
File "C:\WINDOWS\system32\blphcgsgj0eg4c.scr" deleted successfully.
Error: file "C:\WINDOWS\System32\drivers\tcpsr.sys" not found!
Deletion of file "C:\WINDOWS\System32\drivers\tcpsr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate
|
|
10.09.2008, 18:02
| #52 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, ich lasse parallel MAM im abgesicherten Modus laufen. Ist das immer notwendig? Was macht mein Ritter Spybot S&D? Kann er mir vielleicht ein Bein stellen, indem er alles wieder herstellt? Ich habe so ein dummes Bauchgefühl. - Soll ich Spybot vielleicht deinstallieren? Liebe Grüße Ulla |
|
10.09.2008, 19:18
| #53 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, ich habe MAM im abgesicherten Modus mit Vollscan laufen lassen: 17 Einträge Danach MAM noch einmal im abgesicherten Modus, Schnellscan; 0 Einträge. Ich gehe zurück in den Normalmodus und da meldet sich Spybot: S & D hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde.Und wenn ich das Log von S&D auch mal schicke? Vielleicht mache ich dort etwas falsch? Ich muss doch irgendwo Fehler machen oder hast Du eine Erklärung hierfür? - Ich mach jetzt weiter. LG Ulla MAM zum Ersten Code:
ATTFilter Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2
19:38:44 10.09.2008
mbam-log-09-10-2008 (19-38-44).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 76358
Laufzeit: 41 minute(s), 10 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcgsgj0eg4c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\System Volume Information\_restore{C1F5126F-39B4-4756-BAFF-945B1C5236A2}\RP6\A0000099.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcgsgj0eg4c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcgsgj0eg4c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2
19:38:44 10.09.2008
mbam-log-09-10-2008 (19-38-44).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 76358
Laufzeit: 41 minute(s), 10 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcgsgj0eg4c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\System Volume Information\_restore{C1F5126F-39B4-4756-BAFF-945B1C5236A2}\RP6\A0000099.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcgsgj0eg4c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcgsgj0eg4c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
Code:
ATTFilter 09.09.2008 14:21:51 Verweigert (based on user decision) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
09.09.2008 14:22:09 Verweigert (based on user decision) value "inrhclsgj0eg4c" (new data: "C:\WINDOWS\Temp\.ttE.tmp.exe /CR=E08AC8ADEEC613C39E30C48EA611036BF85810A3A64036ECCF6CC784FA94618C41369D1E5D9170DFBACEB5F4B36470B23B8250AAFCFD961E1DFE373EB59AAA8826F687922238E7846C3F302CC6EC111C2D2AA85AD25FA9") hinzugefügt in System Startup global entry!
09.09.2008 14:22:09 Erlaubt (based on lassh blacklist) value "SiS KHooker" (new data: "") gelöscht in System Startup global entry!
09.09.2008 14:22:09 Erlaubt (based on lassh blacklist) value "Microsoft Works Update Detection" (new data: "") gelöscht in System Startup global entry!
09.09.2008 14:22:25 Verweigert (based on user decision) value "" (new data: ""%1" /S") geändert in SCR Extension handler!
09.09.2008 14:22:49 Verweigert (based on user decision) value "" (new data: "regedit.exe "%1"") geändert in REG Extension handler!
2008-09-09 14:34:20 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
09.09.2008 14:42:10 Verweigert (based on user decision) value "inrhclsgj0eg4c" (new data: "C:\WINDOWS\Temp\.ttC.tmp.exe /CR=E08AC8ADEEC613C39E30C48EA611036BF85810A3A64036ECCF6CC784FA94618C41369D1E5D9170DFBACEB5F4B36470B23B8250AAFCFD961E1DFE373EB59AAA8826F687922238E7846C3F302CC6EC111C2D2AA85AD25FA9") hinzugefügt in System Startup global entry!
09.09.2008 14:42:10 Verweigert (based on user blacklist) value "" (new data: ""%1" /S") geändert in SCR Extension handler!
09.09.2008 14:42:10 Verweigert (based on user blacklist) value "" (new data: "regedit.exe "%1"") geändert in REG Extension handler!
09.09.2008 16:34:25 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
09.09.2008 16:39:57 Verweigert (based on user decision) value "inrhclsgj0eg4c" (new data: "C:\WINDOWS\Temp\.ttC.tmp.exe /CR=E08AC8ADEEC613C39E30C48EA611036BF85810A3A64036ECCF6CC784FA94618C41369D1E5D9170DFBACEB5F4B36470B23B8250AAFCFD961E1DFE373EB59AAA8826F687922238E7846C3F302CC6EC111C2D2AA85AD25FA9") hinzugefügt in System Startup global entry!
09.09.2008 16:46:02 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
10.09.2008 08:44:43 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
10.09.2008 09:24:29 Erlaubt (based on user decision) value "Cleanup" (new data: "C:\cleanup.exe") hinzugefügt in System Startup global entry!
10.09.2008 09:29:13 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
10.09.2008 09:29:35 Erlaubt (based on user decision) value "Cleanup" (new data: "") gelöscht in System Startup global entry!
10.09.2008 09:45:41 Erlaubt (based on user whitelist) value "Cleanup" (new data: "C:\cleanup.exe") hinzugefügt in System Startup global entry!
10.09.2008 09:48:17 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
10.09.2008 09:48:17 Verweigert (based on user blacklist) value "inrhclsgj0eg4c" (new data: "C:\WINDOWS\Temp\.ttC.tmp.exe /CR=E08AC8ADEEC613C39E30C48EA611036BF85810A3A64036ECCF6CC784FA94618C41369D1E5D9170DFBACEB5F4B36470B23B8250AAFCFD961E1DFE373EB59AAA8826F687922238E7846C3F302CC6EC111C2D2AA85AD25FA9") hinzugefügt in System Startup global entry!
10.09.2008 09:48:56 Erlaubt (based on user decision) value "Cleanup" (new data: "") gelöscht in System Startup global entry!
10.09.2008 09:57:41 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
10.09.2008 11:44:17 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
10.09.2008 11:59:35 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
10.09.2008 18:16:39 Erlaubt (based on user whitelist) value "Cleanup" (new data: "C:\cleanup.exe") hinzugefügt in System Startup global entry!
10.09.2008 18:19:46 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
10.09.2008 19:54:24 Verweigert (based on user blacklist) value "lphcgsgj0eg4c" (new data: "C:\WINDOWS\system32\lphcgsgj0eg4c.exe") hinzugefügt in System Startup global entry!
10.09.2008 19:57:39 Verweigert (based on user decision) value "inrhclsgj0eg4c" (new data: "C:\WINDOWS\Temp\.tt35.tmp.exe /CR=E08AC8ADEEC613C39E30C48EA611036BF85810A3A64036ECCF6CC784FA94618C41369D1E5D9170DFBACEB5F4B36470B23B8250AAFCFD961E1DFE373EB59AAA8826F687922238E7846C3F302CC6EC111C2D2AA85AD25FA9") hinzugefügt in System Startup global entry!
|
|
10.09.2008, 20:10
| #54 | ||
| | Befall mit Antivirus XP 2008 und UPS-Virus Wenn wir den Rootkit an und für sich nicht beseitigen können, dann ist bald Ende  Versuche folgende Dateien mit KillBox zu entfernen: Zitat:
Schmeiss den Spybot S&D trotzdem raus! "Uad72.sys"? Weg mit der aber schnell!!! Lösche sie mit KillBox Mach dann aber bitte noch die anderen Sachen durch die ich dir gesagt habe 
__________________ Kein Support per PN Zitat:
|
|
10.09.2008, 20:15
| #55 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, für den Fall, dass Du hier herein schaust, ich lasse gerade parallel SUPERAnti spyware laufen. (Schon 34 Einträge und der Scan ist noch lange nicht fertig). Soll ich danach noch e Scan durchführen oder möchtest Du Dir die Ergebnisse von SUPERAnti spyware erst ansehen? - Du hast sicher auch Besseres vor, als Dich nächtens mit meinen vielen Logfiles zu beschäftigen. Die Neueinstellungen bei Avira habe ich auch durchgeführt. Es sind hier nebenbei zwei Einträge in die Quarantäne gekommen. Meinst Du, wir schaffen das noch? Herzlichen Dank und liebe Grüße Ulla |
|
10.09.2008, 20:18
| #56 | |||
| | Befall mit Antivirus XP 2008 und UPS-VirusZitat:
Zitat:
__________________ Kein Support per PN Zitat:
|
|
10.09.2008, 20:40
| #57 |
| Gast | Befall mit Antivirus XP 2008 und UPS-Virus Hallo Trojan-Death, jetzt kommt der Text von SuperAnti Spyware. Da ist schon einiges drin, was ich mit Killbox entfernen soll. In welcher Reihenfolge soll ich jetzt weitermachen? Erst entfernen mit SuperAnti Spyware? Spybot ist deinstalliert. LG Ulla Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 09/10/2008 at 09:26 PM
Application Version : 4.21.1004
Core Rules Database Version : 3562
Trace Rules Database Version: 1550
Scan type : Complete Scan
Total Scan Time : 00:43:17
Memory items scanned : 425
Memory threats detected : 3
Registry items scanned : 6409
Registry threats detected : 24
File items scanned : 37030
File threats detected : 26
Rootkit.Dropper/BotNet
C:\WINDOWS\SYSTEM32\SUZKACO.DLL
C:\WINDOWS\SYSTEM32\SUZKACO.DLL
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify\suzkaco
C:\WINDOWS\SYSTEM32\SUZKACO32.DLL
NotHarmful.Sysinternals Bluescreen Screen Saver
C:\WINDOWS\SYSTEM32\BLPHCGSGJ0EG4C.SCR
C:\WINDOWS\SYSTEM32\BLPHCGSGJ0EG4C.SCR
Trojan.Unknown Origin
C:\WINDOWS\TEMP\NSD42.TMP\EULADLG.DLL
C:\WINDOWS\TEMP\NSD42.TMP\EULADLG.DLL
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMP\NSJ14.TMP\EULADLG.DLL
C:\WINDOWS\TEMP\NSU10.TMP\EULADLG.DLL
C:\WINDOWS\TEMP\NSV10.TMP\EULADLG.DLL
C:\WINDOWS\TEMP\NSV11.TMP\EULADLG.DLL
Rootkit.Protect/WinNT32
HKLM\System\ControlSet001\Services\Uad72
C:\WINDOWS\SYSTEM32\DRIVERS\UAD72.SYS
HKLM\System\ControlSet001\Enum\Root\LEGACY_Uad72
HKLM\System\ControlSet002\Services\Uad72
HKLM\System\ControlSet002\Enum\Root\LEGACY_Uad72
HKLM\System\CurrentControlSet\Services\Uad72
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_Uad72
Rootkit.MailGrab
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr#Type
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr#Start
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr#ErrorControl
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr#ImagePath
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr\Security
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr\Security#Security
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr\Enum
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr\Enum#0
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr\Enum#Count
HKLM\SYSTEM\CurrentControlSet\Services\tcpsr\Enum#NextInstance
Trojan.FakeAlert/Desktop
HKU\.DEFAULT\CONTROL PANEL\DESKTOP#WALLPAPER
HKU\.DEFAULT\CONTROL PANEL\DESKTOP#ORIGINALWALLPAPER
HKU\.DEFAULT\CONTROL PANEL\DESKTOP#CONVERTEDWALLPAPER
HKU\S-1-5-18\CONTROL PANEL\DESKTOP#WALLPAPER
HKU\S-1-5-18\CONTROL PANEL\DESKTOP#ORIGINALWALLPAPER
HKU\S-1-5-18\CONTROL PANEL\DESKTOP#CONVERTEDWALLPAPER
Rogue.AntiVirus 2008
C:\WINDOWS\SYSTEM32\PHCGSGJ0EG4C.BMP
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Cookies\administrator@fsecure.122.2o7[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@247realmedia[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@2o7[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@account.live[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.yieldmanager[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@adecn[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@adfarm1.adition[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@adopt.euroclick[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ads.bridgetrack[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@msnaccountservices.112.2o7[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@msnportal.112.2o7[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@partner2profit[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@specificclick[2].txt
Rogue.MalwareProtector/Variant
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\C.TMP.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\D.TMP.VIR
Rogue.Dropper/Gen
C:\WINDOWS\SYSTEM32\LPHCGSGJ0EG4C.EXE
|
|
10.09.2008, 20:46
| #58 | |
| | Befall mit Antivirus XP 2008 und UPS-Virus Kumpel... Vergiss es!!! Dein System wird komplett von den Rootkit's gesteuert und ist nicht mehr zu retten... Deinen Rechner bereinigen zu wollen ist etwa gleich aussichtslos, wie, wenn du hoffst einzelne Körnchen von nem Sandberg wegtransportieren zu können und der Berg irgendwann verschwunden ist  Sorry... Der, besser gesagt die Rootkits, sind einfach nicht mehr zu beherrschen Du musst deinen Rechner nun wirklich Neuaufsetzen. grüsse trojan-death
__________________ Kein Support per PN Zitat:
|
|
10.09.2008, 21:03
| #59 | |
  | Befall mit Antivirus XP 2008 und UPS-Virus Hoi, wenn ich mal kurz was erläutern darf: Zitat:
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
10.09.2008, 21:04
| #60 | ||
| | Befall mit Antivirus XP 2008 und UPS-VirusZitat:
Hab Ulla schon nach den ersten paar Log's zum Neuaufsetzen geraten
__________________ Kein Support per PN Zitat:
|
|
| Themen zu Befall mit Antivirus XP 2008 und UPS-Virus |
| 8.tmp, abgesicherten modus, ad-aware, administrator, adobe, adware.softmate, antivirus, askbar, autorun, avira, bildschirmschoner, c.exe, controlcenter, desktop, dringend, einstellungen, ellung, excel, explorer, fritz!, ftp, helfen, herzlichen dank, hijack, hijack.wallpaper, hkus\s-1-5-18, internet, internet explorer, pc läuft, pdf, photoshop, popup, problem, registrierungsschlüssel, rogue.multiple, rootkit.agent, scan, software, symantec, telefonnummer, temp, trojan.downloader, windows xp, windows\temp |
Linear-Darstellung
