| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Starker Virenbefall - 38 Funde!!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.09.2008, 21:43
| #1 |
| |  Starker Virenbefall - 38 Funde!!! Ich habe ein großes Problem: Bis eben gerade hatte ich den nervigen "AntiVirus 2009" auf dem Rechner. Hier im Forum habe ich Hilfe gefunden den "AV09" zu entfernen (was meines erachtens nach geklappt hat). Da ich als Frau nicht wirklich Ahnung von PCs habe, hoffe ich hier auf Hilfe! Ich war für 5 Monate im Ausland, als ich wieder hier war, hat mein Freund auf irgendwelchen Seiten ziemlich viele Viren, Trojaner, etc. eingesammelt. Mein AntiVir kann diese leider nicht bewältigen (vermute ich zumindest). Löschen möchte ich sie nicht manuell, da ich nicht weiß, welche Dateien für das System wichtig sind. Wenn ich jetzt mit AntiVir einen Scan durchführe kommt die meldung das 38 Funde gemacht wurden. Kann ich diese Dateien irgendwie entfernen? Richtig arbeiten kann ich mit dem PC derzeit nicht, desweiteren habe ich die Bedenken, dass noch weitere Viren drauf gelangen können! Ich habe Windows XP (falls ihr das wissen müsst). Ich hoffe Ihr könnt mir weiter helfen?! Würde mich freuen und wäre sehr dankbar!! Hier der AntiVir Bericht: Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.8.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.8.2008 16:16:20 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.8.2008 16:16:20 LUKE.DLL : 8.1.4.5 164097 Bytes 17.8.2008 16:16:22 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.8.2008 16:16:22 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 22:22:06 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.6.2008 21:57:48 ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.9.2008 17:08:05 ANTIVIR3.VDF : 7.0.6.161 67072 Bytes 15.9.2008 17:08:05 Engineversion : 8.1.1.28 AEVDF.DLL : 8.1.0.5 102772 Bytes 16.4.2008 12:16:52 AESCRIPT.DLL : 8.1.0.70 319866 Bytes 15.9.2008 17:08:13 AESCN.DLL : 8.1.0.23 119156 Bytes 17.8.2008 16:16:26 AERDL.DLL : 8.1.1.1 397683 Bytes 15.9.2008 17:08:12 AEPACK.DLL : 8.1.2.1 364917 Bytes 17.8.2008 16:16:26 AEOFFICE.DLL : 8.1.0.23 196987 Bytes 15.9.2008 17:08:11 AEHEUR.DLL : 8.1.0.51 1397111 Bytes 15.9.2008 17:08:10 AEHELP.DLL : 8.1.0.15 115063 Bytes 5.6.2008 19:36:02 AEGEN.DLL : 8.1.0.36 315764 Bytes 15.9.2008 17:08:07 AEEMU.DLL : 8.1.0.7 430452 Bytes 17.8.2008 16:16:25 AECORE.DLL : 8.1.1.11 172406 Bytes 15.9.2008 17:08:06 AEBB.DLL : 8.1.0.1 53617 Bytes 17.8.2008 16:16:24 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.8.2008 16:16:20 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.8.2008 16:16:20 AVREP.DLL : 8.0.0.2 98344 Bytes 17.8.2008 16:16:24 AVREG.DLL : 8.0.0.1 33537 Bytes 17.8.2008 16:16:20 AVARKT.DLL : 1.0.0.23 307457 Bytes 16.4.2008 12:16:48 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.8.2008 16:16:19 SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.4.2008 12:16:50 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.8.2008 16:16:23 NETNT.DLL : 8.0.0.1 7937 Bytes 16.4.2008 12:16:50 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.8.2008 16:16:12 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.8.2008 16:16:12 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 15. September 2008 21:09 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '22' Prozesse mit '22' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. C:\WINDOWS\system32\pmnKDWmL.dll [FUND] Ist das Trojanische Pferd TR/Inject.24064 [HINWEIS] TR/Inject.24064:[HKEY_CLASSES_ROOT\CLSID\{FAAF4503-E52D-4B3B-9B12-D408F13AD817}\InprocServer32]:<@>=sz  mnKDWmL.dll[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003 [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [HINWEIS] Der Treiber konnte nicht initialisiert werden. [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. Die Registry wurde durchsucht ( '53' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Nisha\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57\538bb179-4ab9ed7e [0] Archivtyp: ZIP --> OP.class [FUND] Enthält Erkennungsmuster des Exploits EXP/ByteVerify.I [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4906b3cd.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\Nisha\Lokale Einstellungen\Temp\nos2.tmp [0] Archivtyp: CAB SFX (self extracting) --> \aiosw.msi [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\Programme\ICQToolbar\tbuB\tbupdate.cab [0] Archivtyp: CAB (Microsoft) --> about.html [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063656.exe [FUND] Ist das Trojanische Pferd TR/StartPage.bft [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febac0.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063665.exe [FUND] Ist das Trojanische Pferd TR/StartPage.bft [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febac6.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063707.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/IrcBot.10795 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febad4.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063708.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/IrcBot.21838.4 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febad7.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063709.dll [FUND] Ist das Trojanische Pferd TR/Inject.24064 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febadf.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063710.dll [FUND] Ist das Trojanische Pferd TR/Inject.24064 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febae0.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP281\A0063799.dll [FUND] Ist das Trojanische Pferd TR/Monder.NA [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febae6.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0067631.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb5c.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068174.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb73.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068209.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb77.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068222.dll [FUND] Ist das Trojanische Pferd TR/Inject.24064 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb79.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068235.exe [FUND] Ist das Trojanische Pferd TR/StartPage.bft [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb7c.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068236.exe [FUND] Ist das Trojanische Pferd TR/StartPage.bft [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb7e.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068288.dll [FUND] Ist das Trojanische Pferd TR/Monder.aen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb82.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068289.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.2 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb86.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0068313.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.2 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb88.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP283\A0071650.dll [FUND] Ist das Trojanische Pferd TR/Monderc.103424.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febb98.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072294.dll [FUND] Ist das Trojanische Pferd TR/Monderc.81408 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febba9.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072372.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbb2.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072373.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbb4.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072374.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbb5.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072375.dll [FUND] Ist das Trojanische Pferd TR/Monder.aeo [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbb7.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072376.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbb9.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072377.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbba.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072378.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbbc.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072379.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbbe.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072380.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc0.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072381.dll [FUND] Ist das Trojanische Pferd TR/Monderc.103424.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc2.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072382.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc4.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072383.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc6.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072384.dll [FUND] Ist das Trojanische Pferd TR/Vundo.ewz.26 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc8.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072385.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbc9.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP284\A0072453.dll [FUND] Ist das Trojanische Pferd TR/Monderc.90624.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbcc.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP285\A0072549.exe [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPAntivirus.QA [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48febbd1.qua' verschoben! C:\System Volume Information\_restore{F68E6D1F-3DED-4C8A-B2C3-6435E25195AE}\RP285\A0072922.exe [FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPAntivirus.QA [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\pmnKDWmL.dll [FUND] Ist das Trojanische Pferd TR/Inject.24064 [HINWEIS] TR/Inject.24064:[HKEY_CLASSES_ROOT\CLSID\{FAAF4503-E52D-4B3B-9B12-D408F13AD817}\InprocServer32]:<@>=sz mnKDWmL.dll[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003 [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen. [WARNUNG] Fehler in der ARK Lib [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. Ende des Suchlaufs: Montag, 15. September 2008 21:59 Benötigte Zeit: 50:34 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6182 Verzeichnisse wurden überprüft 234483 Dateien wurden geprüft 38 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 2 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 35 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 234443 Dateien ohne Befall 7722 Archive wurden durchsucht 6 Warnungen 38 Hinweise Lieben Gruß Nisha |
| Themen zu Starker Virenbefall - 38 Funde!!! |
| .dll, antivirus, avg, avgnt.exe, einstellungen, entfernen, fehler, helfen, jusched.exe, logon.exe, microsoft, modul, neustart, nt.dll, phish/fraud, problem, programme, prozesse, registry, scan, seiten, services.exe, starker virenbefall, suchlauf, svchost.exe, system, trojaner, verweise, viele viren, viren, virus gefunden, warnung, windows, windows xp, winlogon.exe |
Baum-Darstellung