Hallo forum.

wie der titel schon sagt habe ich ein problem mit dem scriptvirus html/rce.gen

Falls das thema im falschen forum ist bitte verschieben!

ich habe schon google und die sufu genuzt aber nichts gefunden was mir wirklich hilft oder mein problem lösen kann. Das einzigste was ich bisher rausgefunden habe das viele diesen virus durch eine eigene homepage haben,was bei mir allerdings nicht der fall ist und ich mir deswegen nicht erklären kann wo ich denn virus her habe. ich verstehe auch nicht viel von trojanern oder anderen viren nur das die böse sachen machen können :P
nunja ich hoffe das ihr mir irgendwie helfen könnt. Als ich antivir durchlaufen lassen habe weil meine festplatten nur noch durch rechtsklick "öffnen" geöffnet werden können,zeigt mir antivir denn genannten virus,erstmal habe ich auf löschen gedrückt und dachte das thema wäre damit erledigt. Nach 5 minuten ungefähr kamm antivir wieder mit der selben meldung.

C:/BLOKKMONSTA.vbs
Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.gen

da meine festplatte in 3 teile aufgeteilt ist(C, D und E) habe ich denn virus auf jedem festplattenteil. Nach der 2 virusmeldung habe ich denn virus in Quarantäne verschoben. naja hat genau so wenig geholfen, alle 5 minuten kommt die meldung und egal was ich anklicke es kommt immer wieder. Momentan bin ich echt am verzweifeln,weil ich nicht weis wie das problem zu lösen ist.Ich verstehe auch nicht viel von diesen ganzen logs und so was hier gepostet wird deswegen bitte ich um etwas rücksicht und nicht das ich hier mit fachwörten zugeballert werde^^ ich poste euch mal denn bericht denn antivir ausgespuckt hat.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 1. September 2008 08:56

Es wird nach 1369550 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: opfer
Computername: BLOKKMONSTA

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 05:20:53
ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30.06.2008 09:24:47
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 06.08.2008 13:13:47
AESCN.DLL : 8.1.0.23 119156 Bytes 10.07.2008 12:44:49
AERDL.DLL : 8.1.0.20 418165 Bytes 24.04.2008 12:37:48
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 12:58:35
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.07.2008 06:35:21
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 06.08.2008 13:13:47
AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 12:44:48
AEGEN.DLL : 8.1.0.35 315764 Bytes 06.08.2008 14:38:47
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 08:33:21
AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 08:33:21
AEBB.DLL : 8.1.0.1 53617 Bytes 10.07.2008 12:44:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 7.0.0.1 155688 Bytes 30.06.2008 14:29:36
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Windows Systemverzeichnis
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\setupprf.dat
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 1. September 2008 08:56

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TTTVRC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscript.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\BLOKKMONSTA.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.

Die Registry wurde durchsucht ( '60' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32'


Ende des Suchlaufs: Montag, 1. September 2008 08:59
Benötigte Zeit: 02:50 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

168 Verzeichnisse wurden überprüft
6538 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
6537 Dateien ohne Befall
4 Archive wurden durchsucht
1 Warnungen
1 Hinweise


ich hoffe auf schnelle hilfe =)

mfg locha

PS: wer rechtschreibfehler findet darf sie behalten :P

Halli hallo Locha1988 und

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\BLOKKMONSTA.vbs
C:\BLOKKMONSTA.vbs
D:\BLOKKMONSTA.vbs
E:\BLOKKMONSTA.vbs
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Danke erstmal für die schnelle antwort =)

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\BLOKKMONSTA.vbs" not found!
Deletion of file "C:\WINDOWS\system32\BLOKKMONSTA.vbs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\BLOKKMONSTA.vbs" deleted successfully.
File "D:\BLOKKMONSTA.vbs" deleted successfully.
File "E:\BLOKKMONSTA.vbs" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



http://rapidshare.de/files/40367548/avz_sysinfo.zip.html

mfg Locha

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

c:\programme\terratec\cinergy 400 tv\tttvrc.exe
e:\programme\winamp\winampa.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Führe dieses Skript mit AVZ aus (File->Custom Skript)

Code: Alles auswählenAufklappen

ATTFilter

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 BC_DeleteFile('rmzog.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
         

Danach solltest du AntiVir aggressiv konfigurieren und einen Vollscan machen.

Melde dich danach mit einer frischen Problem- bzw. Besserungsbeschreibung

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!
_______________________________

welchen dateipfad meinst du?
habe jetzt auch versteckte datei offen aber ich weis nicht was ich jetzt bei virustotal eingeben muss

Na die:

Zitat:

c:\programme\terratec\cinergy 400 tv\tttvrc.exe
e:\programme\winamp\winampa.exe

hätt ich mir auch denken können^^

naja erstmal die beiden sachen die ich mit virustotal gescannt habe,hoffe hab es richtig abkopiert!

WINAMP :

Datei winampa.exe empfangen 2008.09.01 11:43:44 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.09.01 -
AntiVir 7.8.1.23 2008.09.01 -
Authentium 5.1.0.4 2008.09.01 -
Avast 4.8.1195.0 2008.08.31 -
AVG 8.0.0.161 2008.09.01 -
BitDefender 7.2 2008.09.01 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.09.01 -
DrWeb 4.44.0.09170 2008.09.01 -
eSafe 7.0.17.0 2008.08.31 -
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.09.01 -
F-Secure 7.60.13501.0 2008.09.01 -
Fortinet 3.14.0.0 2008.09.01 -
GData 19 2008.09.01 -
Ikarus T3.1.1.34.0 2008.09.01 -
K7AntiVirus 7.10.433 2008.08.30 -
Kaspersky 7.0.0.125 2008.09.01 -
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3403 2008.09.01 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.09.01 -
Rising 20.60.01.00 2008.09.01 -
Sophos 4.33.0 2008.09.01 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.09.01 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.09.01 -
VBA32 3.12.8.4 2008.08.31 -
ViRobot 2008.9.1.1359 2008.09.01 -
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.09.01 -
weitere Informationen
File size: 37376 bytes
MD5...: 725524f7ef2aaefe4ffdcb1d8c7b7434
SHA1..: 9f0a75267eef4308d14fe30904ab79a54f403849
SHA256: c0630cd263d09e950c93dd3b8962c81e8ee990f1707114945fd64a2229c6c09f
SHA512: 4c48c5f672fedb59a1a59300320dc571b39f0b7c78f8efae2963872c35a65438
4546072690a0a915ea2a1b41a62e1083e11b5fcc2715c67c5ee3611e502ed446
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401fdb
timedatestamp.....: 0x476a8749 (Thu Dec 20 15:16:25 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x161d 0x1800 5.93 db894e1a71d8d4a091cb6a72da54d70b
.rdata 0x3000 0xa31 0xc00 4.71 255349b675a6f519feba36a9348a3fca
.data 0x4000 0x3144 0x200 0.87 6f62577d176c3c5b809c935002fdf2e0
.rsrc 0x8000 0x6668 0x6800 3.51 0aabf1a498ad6b98e80465e2e6a7addc

( 5 imports )
> KERNEL32.dll: LoadLibraryExA, GetPrivateProfileIntA, CloseHandle, SetFilePointer, CreateFileA, GetVolumeInformationA, SetErrorMode, FreeLibrary, GetLogicalDrives, GetTickCount, lstrcpyA, lstrcatA, GetModuleFileNameA, GetModuleHandleA, GetEnvironmentVariableA, ExitProcess, ReadFile, GetPrivateProfileStringA, lstrcmpiA, lstrlenA, GetDriveTypeA, lstrcmpA
> USER32.dll: GetAsyncKeyState, SendMessageA, GetWindowTextW, FindWindowA, DispatchMessageA, GetMessageA, MessageBoxA, CreateWindowExA, RegisterClassA, RegisterWindowMessageA, SetForegroundWindow, CharNextA, CharNextW, DestroyMenu, LoadImageA, DestroyIcon, DefWindowProcA, DestroyWindow, PostQuitMessage, SetTimer, CreatePopupMenu, GetCursorPos, InsertMenuItemA, TrackPopupMenu, EnableMenuItem, wsprintfA, SetMenuDefaultItem
> ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegCreateKeyA, RegDeleteValueA, RegQueryValueExA, RegOpenKeyA
> SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc, ShellExecuteA, Shell_NotifyIconW
> NSCRT.dll: atoi

( 0 exports )
________________________

TTTVRC:

Datei TTTVRC.exe empfangen 2008.09.01 11:36:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.09.01 -
AntiVir 7.8.1.23 2008.09.01 -
Authentium 5.1.0.4 2008.09.01 -
Avast 4.8.1195.0 2008.08.31 -
AVG 8.0.0.161 2008.09.01 -
BitDefender 7.2 2008.09.01 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.09.01 -
DrWeb 4.44.0.09170 2008.09.01 -
eSafe 7.0.17.0 2008.08.31 -
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.09.01 -
Fortinet 3.14.0.0 2008.09.01 -
GData 19 2008.09.01 -
Ikarus T3.1.1.34.0 2008.09.01 -
K7AntiVirus 7.10.433 2008.08.30 -
Kaspersky 7.0.0.125 2008.09.01 -
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3403 2008.09.01 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.09.01 -
Rising 20.60.01.00 2008.09.01 -
Sophos 4.33.0 2008.09.01 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.09.01 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.09.01 -
VBA32 3.12.8.4 2008.08.31 -
ViRobot 2008.9.1.1359 2008.09.01 -
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.09.01 -
weitere Informationen
File size: 204800 bytes
MD5...: ef75b1a14a8d17acd54bc711edfef360
SHA1..: 16e5beee76986d95a1a70552d2a96c3840e3edda
SHA256: 3ad795ae99da6c27f1af0d6be57ed692f150ff23e1747ebdb345f7e5fe98c20e
SHA512: 9ca9fc8bac30c56bb69be1772438e439a2b41279c7169bc2a708689334791654
92c94730643a315d1d6e4a796f589826b8f83119ddaba6f3176ae41250c07453
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4110bd
timedatestamp.....: 0x3cea1bb8 (Tue May 21 10:04:40 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x117a2 0x12000 6.14 a6fa6899d2bdcc5c45a89ed727fd3d83
.rdata 0x13000 0x3d52 0x4000 4.64 20e239165fe808b125335dd19845a776
.data 0x17000 0x142cc 0x2000 4.52 467fdc1ca40744fa74c57b9f66b6a1b3
.rsrc 0x2c000 0x18010 0x19000 4.17 df64feb936c481be8efe88f79bb6c5ad

( 11 imports )
> WINMM.dll: timeGetTime
> SHLWAPI.dll: PathIsDirectoryA, PathAddExtensionA, PathRemoveFileSpecA, PathFileExistsA, PathFindFileNameA, PathFindExtensionA, UrlCreateFromPathA, PathCombineA
> SHFOLDER.dll: SHGetFolderPathA
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, _terminate@@YAXXZ, _except_handler3, _controlfp, setlocale, sscanf, fprintf, _mbscmp, sprintf, fopen, fclose, _setmbcp, wcsncpy, _purecall, __CxxFrameHandler
> KERNEL32.dll: CloseHandle, FindFirstFileA, FindNextFileA, GetSystemDirectoryA, GetCurrentDirectoryA, OpenProcess, FindClose, GetProcAddress, LoadLibraryA, FreeLibrary, GetModuleFileNameA, MulDiv, GetVersionExA, WritePrivateProfileSectionA, GetPrivateProfileSectionA, WritePrivateProfileStringA, GetLocaleInfoA, GetUserDefaultLCID, GetLastError, SetThreadLocale, lstrcpyA, GetPrivateProfileStringA, LoadResource, lstrlenA, GetPrivateProfileIntA, GetPrivateProfileSectionNamesA, FindResourceExA, CreateSemaphoreA, Sleep, GetTickCount, GetStartupInfoA, GetModuleHandleA, GetWindowsDirectoryA
> USER32.dll: LoadAcceleratorsA, OffsetRect, GetWindowRect, PtInRect, InvalidateRect, UpdateWindow, UnionRect, GetFocus, GetWindowTextA, FrameRect, SetClassLongA, TranslateAcceleratorA, GetDC, AppendMenuA, CreateMenu, MapVirtualKeyA, GetKeyState, LoadCursorA, SendInput, IsZoomed, SetTimer, PostMessageA, SetActiveWindow, SetScrollPos, GetScrollPos, GetScrollRange, IsIconic, LoadIconA, PostQuitMessage, RegisterHotKey, GetSystemMetrics, AnimateWindow, BringWindowToTop, GetWindowModuleFileNameA, FindWindowA, IsWindow, SetWindowPos, SetForegroundWindow, GetParent, GetWindowThreadProcessId, IsRectEmpty, CopyRect, GetClientRect, SetRectEmpty, EnableWindow, EnumWindows, InflateRect, IsWindowVisible, IsWindowEnabled, SendMessageA, IsChild, GetClassNameA, GetWindow, KillTimer, LoadImageA, LockWindowUpdate
> GDI32.dll: BitBlt, CreateCompatibleDC, GetObjectA, CreateSolidBrush, GetTextMetricsA, CreateFontIndirectA, GetDeviceCaps
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> SHELL32.dll: ShellExecuteA, SHBrowseForFolderA, SHGetPathFromIDListA, SHGetMalloc, ExtractIconA
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitialize

( 0 exports )

Der neue Log vom Antivir nach dem scan!

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 1. September 2008 11:53

Es wird nach 1369550 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: BLOKKMONSTA

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.5.20 142336 Bytes 30.06.2008 05:20:53
ANTIVIR3.VDF : 7.0.5.23 17408 Bytes 30.06.2008 09:24:47
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 06.08.2008 13:13:47
AESCN.DLL : 8.1.0.23 119156 Bytes 10.07.2008 12:44:49
AERDL.DLL : 8.1.0.20 418165 Bytes 24.04.2008 12:37:48
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 12:58:35
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.07.2008 06:35:21
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 06.08.2008 13:13:47
AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 12:44:48
AEGEN.DLL : 8.1.0.35 315764 Bytes 06.08.2008 14:38:47
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 08:33:21
AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 08:33:21
AEBB.DLL : 8.1.0.1 53617 Bytes 10.07.2008 12:44:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 7.0.0.1 155688 Bytes 30.06.2008 14:29:36
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 1. September 2008 11:53

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TTTVRC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '60' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\FAULESOBST.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4910bbd0.qua' verschoben!
C:\KILLA.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907bbd8.qua' verschoben!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000009.sys
[FUND] Ist das Trojanische Pferd TR/Agent.AFQN.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbc67.qua' verschoben!
C:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000016.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4961f0c0.qua' verschoben!
C:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000017.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbc69.qua' verschoben!
Beginne mit der Suche in 'D:\'
D:\FAULESOBST.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4910bd8b.qua' verschoben!
D:\KILLA.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907bd94.qua' verschoben!
D:\PROTZEL.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490abd9d.qua' verschoben!
D:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000018.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe39.qua' verschoben!
D:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000019.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4961f292.qua' verschoben!
D:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000020.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446fa.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000004.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3a.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000099.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446fb.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000138.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3b.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000233.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446fc.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000248.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3d.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000341.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3c.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000370.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446fd.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000391.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3e.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000426.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446ff.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000460.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '499446fe.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000471.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe3f.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000490.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944680.qua' verschoben!
D:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000522.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbe41.qua' verschoben!
Beginne mit der Suche in 'E:\'
E:\FAULESOBST.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4910be4f.qua' verschoben!
E:\KILLA.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4907be57.qua' verschoben!
E:\PROTZEL.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490abe60.qua' verschoben!
E:\System Volume Information\_restore{8247DB4A-327F-4B71-9E99-B1793DCD624C}\RP25\A0002595.exe
[FUND] Enthält Code des Windows-Virus W32/Parite
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbf8f.qua' verschoben!
E:\System Volume Information\_restore{8247DB4A-327F-4B71-9E99-B1793DCD624C}\RP25\A0002825.exe
[FUND] Enthält Code des Windows-Virus W32/Parite
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbf99.qua' verschoben!
E:\System Volume Information\_restore{8247DB4A-327F-4B71-9E99-B1793DCD624C}\RP25\A0003159.exe
[FUND] Enthält Code des Windows-Virus W32/Parite
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbf9d.qua' verschoben!
E:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000021.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4994475e.qua' verschoben!
E:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000022.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbf9e.qua' verschoben!
E:\System Volume Information\_restore{C5E9B61F-78CA-4BCD-8D97-D19DFB69403F}\RP1\A0000023.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4994475f.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000006.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbf9f.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000101.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa1.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP1\A0000140.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944762.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000235.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa3.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000250.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944764.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000343.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa4.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000372.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944765.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000393.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa6.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP2\A0000428.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944767.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000462.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa5.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000473.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49944766.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000492.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa7.qua' verschoben!
E:\System Volume Information\_restore{F876BBDC-CBA9-4755-B152-6C01FAEB2C63}\RP3\A0000524.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Rce.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ebbfa8.qua' verschoben!


Ende des Suchlaufs: Montag, 1. September 2008 12:09
Benötigte Zeit: 16:53 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5055 Verzeichnisse wurden überprüft
126671 Dateien wurden geprüft
46 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
46 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
126624 Dateien ohne Befall
706 Archive wurden durchsucht
1 Warnungen
46 Hinweise


Inzwischen piept antivir nichmehr alle 5 minuten,wenigstens schonmal etwas^^
aber das es jetzt 46 funde gab macht mir doch etwas sorgen.
was mir auch auffällt ist das wenn ich mein IE öffner oben " Hacked by Blokkmonsta" steht
was bedeutet das?ist es etwas schlimmes?

mfg Locha

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:39, on 01.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
E:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\opfer\Desktop\Neuer Ordner\This.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by BLOKKMONSTA
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4609 bytes



was bringen diese ganzen logfiles überhaupt,für mich sind das alles nur lauter ?? verstehe echt nix davon

Grrr. Da taucht nichts auf. Das ist neu.

Während der weiteren Prozedur den Rechner nicht neustarten!
Und die Systemwiederherstellung bleibt ausgeschaltet!

1. Vorerst keine USB-Sticks und -Platten an den Rechner anschließen, eventuell angeschlossene trennen.

2. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

• Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
• Geschützte Systemdateien ausblenden -> Haken weg
• Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
• Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

3. Taskmanager: alle laufenden Prozesse wscript.exe bzw. cscript.exe beenden.

4. Mache einen Vollscan mit AntiVir (aggressive Einstellungen). Lösche alles was gefunden wird.

5. Suche wie in meiner Sigantur beschrieben wird nach .vbs

Die Funde benne bitte umbennen lassen in ...Dateiname.vir[vbs].

6. Deine Festplatten nach Dateien mit dem Namen autorun.inf absuchen. Dabei drauf achten, dass alles durchsucht wird, "weitere Optionen" entsprechend setzen. Die ebenfalls löschen.

7. Damit sollte der Rechner selber erledigt sein, nun kommen die USB-Laufwerke dran. Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun. Zusätzlich solltest Du auch vorher in C:\Windows\system32 die wscript.exe umbenennen, das aber am Ende wieder rückgängig machen, sie ist ein wichtiger Teil von Windows.

8. Auf allen USB-Geräten nun nach Kopien dieser vbs-Datei und autorun.inf-Dateien suchen und die ebenfalls löschen. dabei ebenfalls die Suchoptionen beachten.

Grüße gehen an KarlKarl

Mein antivir hat nix mehr gefunden,warum auch immer habe alle datein die ich vor dem vorigen durchlaufe in Quarantäne verschoben hatte gelöscht.

die ganzen .vbs datein die ich gefunden habe sollte ich ja in dateiname.vir[vbs] umbennen. dann sagt er mir das die datein unbrauchbar werden,da die datein alle im system32 ordner sind,mach ich mir etwas sorgen das mein system dann nicht mehr funkioniert oder sind es wirklich unbrauchbare datein die sich auf denn pc geschlichen haben und bedenkenlos gelöscht werden können?

falls ja wie werden die datein gelöscht per hand oder dann durch antivier,wegen der umbenneung?

die prozesse script.exe bzw. cscript.exe liefen überhaupt nicht bzw. habe ich bei prozesse gar nicht gefunden.

was ich vielleicht noch sagen sollte ist da ich bei einem online spiel teilweise ein bot laufen habe,musste ich für diesen bot libaryfiles in mein system32 ordner installiern,kommen die vbs scripte vielleicht daher?

was macht diese vbs scripte eigentlich,sind die bösartig oder einfach nur lästige kleine dinger,die mir nicht anhaben können?

Zitat:

online spiel teilweise ein bot laufen habe,musste ich für diesen bot libaryfiles in mein system32 ordner installiern,kommen die vbs scripte vielleicht daher?

Oh man.
Warum tust du sowas? Die Dateien solltest du schleunigst wieder löschen und den der dir das geraten hat bzw. der diesen "Bot" geschrieben hat auf deine perönlichen Ignor Liste setzten.
Da würde ich mir überlegen neuaufzusetzten denn wer weiss schon was du dir da noch alles schön in den system Ordner kopiert hast...

Zitat:

die ganzen .vbs datein die ich gefunden habe sollte ich ja in dateiname.vir[vbs] umbennen. dann sagt er mir das die datein unbrauchbar werden,da die datein alle im system32 ordner sind,mach ich mir etwas sorgen das mein system dann nicht mehr funkioniert

Also mir würde keine wirklich wichtige .vbs Datei einfallen die dein System brauchen würde. Und wenn doch kannst du sie ja einfach wieder umbennen..

Im prinzip machen diese vbs scripte ja keine probleme mehr auser das ich auf meine festplatten teile nur per rechtsklick "öffnen" zugreifen kann.
sobald ich doppelklick auf z.b C mache bekomme ich eine fehlermeldung

Die Skriptdatei "C:\COMPUTERNAME.vbs" wurde nicht gefunden.

Mein antivir schlägt auch kein alarm mehr,kann ich es vielleicht einfach so lassen und bei eventuellen neuen problemen einfach das system neu aufsetzten?

wenn ich allerdings das system neu aufsetze geht mir dann die ganze festplatte flöten? oder nur der teil wo windoof installiert is?

sorry das ich das mit denn libaryfiles erst so spät geschrieben habe,aber das ist mir eben so nebenbei eingefallen^^

edit: duch die libary files kann es nicht kommen,habe grad ein gildenkollegen gebeten selber nach vbs datein zu suchen,da er auch denn selben bot used,er sagt das er diese scripte nicht hat und ein weiterer kollege,bestätigte das ebend

achja und nochwas antivir hat mir diese vbs scripte als malware teile angezeigt,habe hier von so nem malware programm gelesen,würde das eventuell die scripte beseitigen?

push....


warum darf ich meine einträge nicht mehr editieren?