Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Methodbod.gen eingefangen (https://www.trojaner-board.de/31218-methodbod-gen-eingefangen.html)

McRed 08.08.2006 11:48
Methodbod.gen eingefangen
 
Ich bitte um Eure Hilfe.
Ich habe mir W32/methodbod.gen eingefangen. F-Prot hat ihn erkannt. Ich habe die infizierte Datei (A0102710.exe) dann per Hand gelöscht und auch den Papierkorb gelöscht. Jetzt findet F-Prot die Datei unter c:\System Volume Information\_restore***\***\, kann sie nur blockieren aber nicht löschen.
Wie kann ich die Datei löschen?

Logfile of HijackThis v1.99.1
Scan saved at 12:14:54, on 08.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\tswebeditor\tswebeditor.exe
C:\Programme\Microsoft Office\Office\excel.exe
C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOKUME~1\***\LOKALE~1\Temp\~e5d141.tmp
C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
C:\DOKUME~1\***\LOKALE~1\Temp\~e5d141.tmp
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\Programme\discountsurfer\_discountsurfer.exe
C:\Programme\TGeb\TGEB.exe
C:\Programme\FSI\F-Prot\F-StopW.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijack\HijackThis.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{269F984F-39D7-44B8-B028-07F7FC3C53B7}: NameServer = 213.20.148.206 193.189.244.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{31872F5D-C222-4826-86CD-1E17E21561D2}: NameServer = 217.237.151.225,217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{B88EB3BA-5C76-45A4-9609-145BD0B2D858}: NameServer = 217.237.151.225,217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6907177-527E-4B54-8EB2-098F0DB38675}: NameServer = 192.168.22.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{269F984F-39D7-44B8-B028-07F7FC3C53B7}: NameServer = 213.20.148.206 193.189.244.205
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - F:\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Danke für jede Hilfe!
Viele Grüße
McRed

Mellosun 08.08.2006 22:01
Guten Abend,


Zitat:
Zitat von McRed
Jetzt findet F-Prot die Datei unter c:\System Volume Information\_restore***\***\, kann sie nur blockieren aber nicht löschen.
Wie kann ich die Datei löschen?

Das ist die Systemwiederherstellung. Deaktiviere diese, Strate den PC neu und Aktiviere die Systemwiederherstellung wieder!

Gruß Mellosun

McRed 09.08.2006 08:59
Herzlichen Dank Mellosun!! Es funktioniert.
:aplaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131