| |
| |||||||
Log-Analyse und Auswertung: Xp startet 1min. nach Hochfahren neu, nach Neuinstall. Trojaner in System Ordner...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
25.01.2010, 22:36
| #1 |
| |  Xp startet 1min. nach Hochfahren neu, nach Neuinstall. Trojaner in System Ordner... Hallo, habe mir gestern scheinbar einen Virus/Trojaner oder ähnliches eingefangen, den ich nach der Meldung von Antivir löschte. Heute macht der Rechner nach dem Hochfahren nach einer knappen Minute ständig Reboots und somit habe ich das System neu draufgespielt. Ich habe extra für Windows und sämtliche Programme eine 15GB Partition "C:" , die ich mit XP Boot-Cd formatiert und dann darauf Xp neu installeirt habe. Nach der Neuinstallation hat erst alles geklappt, bis ich Antivir installieren wollte, kurz vor Ende der Installation fuhr Windows ohne Fehlermeldung runter und der Rechner startete neu. Nach jedem Neustart von Windows machte es weider dasselbe Problem wie vorher mit dem Rebooten nach 1.min. Habs dann nochmal neuinstalliert und statt Antivir eine Kaspersky Testversion installiert und der hat mir dann insg. nach gefühlten 3h 17 Einträge geliefert: KASPERSKY Code:
ATTFilter Status: Gelöscht (Ereignisse: 17)
25.01.2010 19:33:50 Gelöscht trojanisches Programm Trojan.Win32.Obfuscated.en G:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP23\A0005313.exe//data0078
25.01.2010 19:33:50 Gelöscht trojanisches Programm Trojan.Win32.Obfuscated.en G:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP23\A0005313.exe
25.01.2010 19:33:36 Gelöscht trojanisches Programm Packed.Win32.PolyCrypt.d G:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP22\A0005070.exe//data0078//PE_Patch.UPC
25.01.2010 19:33:36 Gelöscht trojanisches Programm Packed.Win32.PolyCrypt.d G:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP22\A0005070.exe//data0078
25.01.2010 19:33:36 Gelöscht trojanisches Programm Packed.Win32.PolyCrypt.d G:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP22\A0005070.exe
25.01.2010 19:40:12 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a G:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP18\A0004354.exe//data0011
25.01.2010 19:40:12 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a G:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP18\A0004354.exe
25.01.2010 19:51:44 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a D:\setups\Share progs\BSPROINSTALLDE.exe//WiseSFXDropper//WISE0026.BIN
25.01.2010 19:51:44 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a D:\setups\Share progs\BSPROINSTALLDE.exe//WiseSFXDropper
25.01.2010 19:51:44 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a D:\setups\Share progs\BSPROINSTALLDE.exe
25.01.2010 19:51:33 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a D:\setups\Daemon Tools\daemon406-x86.exe//data0019
25.01.2010 19:51:33 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a D:\setups\Daemon Tools\daemon406-x86.exe
25.01.2010 21:11:44 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a D:\System Volume Information\_restore{A92D9F55-524B-4A2A-8EB1-718D43E7586C}\RP5\A0004715.exe//WiseSFXDropper//WISE0026.BIN
25.01.2010 21:11:44 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a D:\System Volume Information\_restore{A92D9F55-524B-4A2A-8EB1-718D43E7586C}\RP5\A0004715.exe//WiseSFXDropper
25.01.2010 21:11:44 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a D:\System Volume Information\_restore{A92D9F55-524B-4A2A-8EB1-718D43E7586C}\RP5\A0004715.exe
25.01.2010 21:11:28 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a D:\System Volume Information\_restore{A92D9F55-524B-4A2A-8EB1-718D43E7586C}\RP5\A0004713.exe//data0019
25.01.2010 21:11:28 Gelöscht legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen not-a-virus:WebToolbar.Win32.WhenU.a D:\System Volume Information\_restore{A92D9F55-524B-4A2A-8EB1-718D43E7586C}\RP5\A0004713.exe
Ich habe dann nochmal manuell die "System Volume Information" Ordner gelöscht. Es scheint mir so als ob der Virus sich in den "Nicht Windows Paritionen" eingenißtet und sich nach dem Neuaufsetzen wieder eingeschaltet hat, das würde zumindest erklären, warum der Fehler nicht verschwunden war trotz Neuinst. Auch auffällig war, dass die Antivir Installation das neuaufgesetzte System zum Absturz gebracht hat, wurde es evtl. vom Virus/Trojaner geblockt? Ich möchte das System jetzt nochmal Neuaufsetzen (nach eurer Anleitung) aber bevor ich das tue, vielleicht könnte sich jemand mal mein Log ansehen, hab nicht so viel Ahnung wie das zu beurteilen ist. Wie gesagt Windows ist noch frisch und daher ist es ja auch so lang.. Achja, ich habe jetzt mittlerweile auch Antivir installiert bekommen und lass es gerade durchlaufen, falls Notwendig kann ich auch den Log dazu posten. HIJACKTHIS Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:30:32, on 25.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\XpertVision\TBPanel.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Avira\AntiVir Desktop\avcenter.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4185 bytes danke.. So Antivir spuckt mir folgendes raus. Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 25. Januar 2010 21:36
Es wird nach 1265407 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : JOE-3UJ64R8U9WJ
Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.0.1 2048 Bytes 06.11.2009 06:35:56
VBASE002.VDF : 7.10.0.2 2048 Bytes 06.11.2009 06:35:58
VBASE003.VDF : 7.10.0.3 2048 Bytes 06.11.2009 06:36:02
VBASE004.VDF : 7.10.0.4 2048 Bytes 06.11.2009 06:36:04
VBASE005.VDF : 7.10.0.5 2048 Bytes 06.11.2009 06:36:08
VBASE006.VDF : 7.10.0.6 2048 Bytes 06.11.2009 06:36:12
VBASE007.VDF : 7.10.0.7 2048 Bytes 06.11.2009 06:36:16
VBASE008.VDF : 7.10.0.8 2048 Bytes 06.11.2009 06:36:18
VBASE009.VDF : 7.10.0.9 2048 Bytes 06.11.2009 06:36:22
VBASE010.VDF : 7.10.0.10 2048 Bytes 06.11.2009 06:36:30
VBASE011.VDF : 7.10.0.11 2048 Bytes 06.11.2009 06:36:34
VBASE012.VDF : 7.10.0.12 2048 Bytes 06.11.2009 06:36:38
VBASE013.VDF : 7.10.0.13 2048 Bytes 06.11.2009 06:36:40
VBASE014.VDF : 7.10.0.14 2048 Bytes 06.11.2009 06:36:44
VBASE015.VDF : 7.10.0.15 2048 Bytes 06.11.2009 06:36:46
VBASE016.VDF : 7.10.0.16 2048 Bytes 06.11.2009 06:36:48
VBASE017.VDF : 7.10.0.17 2048 Bytes 06.11.2009 06:36:50
VBASE018.VDF : 7.10.0.18 2048 Bytes 06.11.2009 06:36:54
VBASE019.VDF : 7.10.0.19 2048 Bytes 06.11.2009 06:36:56
VBASE020.VDF : 7.10.0.20 2048 Bytes 06.11.2009 06:36:58
VBASE021.VDF : 7.10.0.21 2048 Bytes 06.11.2009 06:37:00
VBASE022.VDF : 7.10.0.22 2048 Bytes 06.11.2009 06:37:04
VBASE023.VDF : 7.10.0.23 2048 Bytes 06.11.2009 06:37:06
VBASE024.VDF : 7.10.0.24 2048 Bytes 06.11.2009 06:37:10
VBASE025.VDF : 7.10.0.25 2048 Bytes 06.11.2009 06:37:12
VBASE026.VDF : 7.10.0.26 2048 Bytes 06.11.2009 06:37:14
VBASE027.VDF : 7.10.0.27 2048 Bytes 06.11.2009 06:37:16
VBASE028.VDF : 7.10.0.28 2048 Bytes 06.11.2009 06:37:18
VBASE029.VDF : 7.10.0.29 2048 Bytes 06.11.2009 06:37:20
VBASE030.VDF : 7.10.0.30 2048 Bytes 06.11.2009 06:37:22
VBASE031.VDF : 7.10.0.33 2048 Bytes 06.11.2009 06:37:24
Engineversion : 8.2.1.59
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 08.11.2009 06:38:48
AESCN.DLL : 8.1.2.5 127346 Bytes 08.11.2009 06:38:46
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.2 479604 Bytes 08.11.2009 06:38:42
AEPACK.DLL : 8.2.0.3 422261 Bytes 08.11.2009 06:38:40
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.178 2093431 Bytes 08.11.2009 06:38:34
AEHELP.DLL : 8.1.7.0 237940 Bytes 08.11.2009 06:38:30
AEGEN.DLL : 8.1.1.71 364916 Bytes 08.11.2009 06:38:28
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.8.2 184694 Bytes 08.11.2009 06:38:24
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, G:, H:, I:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Montag, 25. Januar 2010 21:36
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '29373' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPANEL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '52' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <Media cleared>
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'
Beginne mit der Suche in 'G:\' <Sonstiges cleared>
Beginne mit der Suche in 'H:\' <Uni Unterlagen cleared>
Beginne mit der Suche in 'I:\' <Spiele>
I:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP22\A0005061.exe
[FUND] Ist das Trojanische Pferd TR/Agent.85510
I:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP23\A0005407.exe
[FUND] Ist das Trojanische Pferd TR/Agent.85510
Beginne mit der Desinfektion:
I:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP22\A0005061.exe
[FUND] Ist das Trojanische Pferd TR/Agent.85510
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b8e1241.qua' verschoben!
I:\System Volume Information\_restore{C21CAA6B-A8FD-4E70-885B-2F7E4CE11093}\RP23\A0005407.exe
[FUND] Ist das Trojanische Pferd TR/Agent.85510
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a11ffd2.qua' verschoben!
Ende des Suchlaufs: Montag, 25. Januar 2010 22:50
Benötigte Zeit: 1:12:44 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
4617 Verzeichnisse wurden überprüft
507467 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
507464 Dateien ohne Befall
3499 Archive wurden durchsucht
1 Warnungen
3 Hinweise
29373 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Geändert von elvero (25.01.2010 um 22:55 Uhr) |
|
26.01.2010, 14:40
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Xp startet 1min. nach Hochfahren neu, nach Neuinstall. Trojaner in System Ordner... Hallo und
__________________ Das neu aufgesetzte System ist frei von Schädlingen, nur sind noch "Reste" auf den anderen Partitionen und Datenträgern drauf, die auch am infizierten System dran waren. Deaktiviere die Systemwiederherstellung, zumindest auf allen Laufwerken außer C:, sodass die Ordner in System Volume Information geleert werden. M;it den Dateien dadrin kannst eh (fast) nix mehr anfangen. Zitat:
__________________ |
|
| Themen zu Xp startet 1min. nach Hochfahren neu, nach Neuinstall. Trojaner in System Ordner... |
| 0 bytes, absturz, antivir, antivir guard, avira, avp, avp.exe, benutzerdaten, bho, boot-cd, computer, desktop, eraser, fehlermeldung, firefox, gainward, geliefert, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, logfile, mein log, mozilla, msiexec.exe, nt.dll, problem, rundll, software, suchlauf, system, system neu, tastatur, trojaner, versteckte objekte, verweise, virus gefunden, virus/trojaner, warum, windows, windows xp |
Linear-Darstellung
