|
AntiVir meldet Zlob und DR/Agent Fund Hallo liebe Gemeinde, seit einigen Tagen meldet AntiVir die beiden o.g. Dateien, habe sie in Quarantäne verschieben lassen. Desweiteren habe ich hijackthis durchlaufen lassen, und Logfile erstellt. Brauche nun Hilfe bei der Auswertung, hier das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 14:05:28, on 17.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RunDLL32.exe D:\Programme\Logitech\SetPoint\SetPoint.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\duncaN\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://217.6.171.107/cccweb5/login/login.aspx R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - D:\Programme\T-Online\DSL-Manager\TODslSvc.exe Vorab schonmal vielen Dank für die Mühe! mfg ispektor-d |
Moin, wo werden die Dateien denn gemeldet? |
bei einer Routineuntersuchung von AntiVir... Bericht davon habe ich hier: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Freitag, 16. Februar 2007 10:42 Es wird nach 672737 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 00*****96-A**IE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: duncaN Computername: **** Versionsinformationen: BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00 AVSCAN.EXE : 7.0.3.5 208936 Bytes 15.01.2007 11:02:35 AVSCAN.DLL : 7.0.3.0 35880 Bytes 14.12.2006 11:08:28 LUKE.DLL : 7.0.3.2 143400 Bytes 14.12.2006 11:08:29 LUKERES.DLL : 7.0.2.0 9256 Bytes 14.12.2006 11:08:29 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 22:51:50 ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 11:06:39 ANTIVIR2.VDF : 6.37.1.85 598016 Bytes 14.02.2007 15:09:22 ANTIVIR3.VDF : 6.37.1.101 23552 Bytes 16.02.2007 09:11:11 AVEWIN32.DLL : 7.3.1.37 2306560 Bytes 13.02.2007 14:43:11 AVPREF.DLL : 7.0.2.0 23592 Bytes 14.12.2006 11:08:27 AVREP.DLL : 6.37.1.100 1142824 Bytes 16.02.2007 09:11:11 AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 31.05.2006 14:18:41 AVPACK32.DLL : 7.2.0.5 368680 Bytes 25.10.2006 14:44:18 AVREG.DLL : 7.0.1.2 30760 Bytes 15.01.2007 11:02:35 NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 06:56:47 RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 14.12.2006 11:08:23 RCTEXT.DLL : 7.0.12.0 77864 Bytes 14.12.2006 11:08:24 Konfiguration für den aktuellen Suchlauf: Job Name.........................: ShlExt Konfigurationsdatei..............: C:\DOKUME~1\duncaN\LOKALE~1\Temp\a2d033d3.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche Laufende Programme....: aus Durchsuche Registrierung.........: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Erweiterte Sucheinstellungen.....: 0x00000032 Beginn des Suchlaufs: Freitag, 16. Februar 2007 10:42 Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\System Volume Information' C:\System Volume Information\_restore{9FDD8D7F-DEDF-466A-808B-E0AA33CB1A8E}\RP25\A0009428.exe [FUND] Ist das Trojanische Pferd TR/Drop.Zlob.AK.4 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46057cc7.qua' verschoben! C:\System Volume Information\_restore{9FDD8D7F-DEDF-466A-808B-E0AA33CB1A8E}\RP61\A0018155.exe [FUND] Enthält Signatur des Droppers DR/Agent.aev [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46057d24.qua' verschoben! Ende des Suchlaufs: Freitag, 16. Februar 2007 10:44 Benötigte Zeit: 02:38 min Der Suchlauf wurde vollständig durchgeführt. 171 Verzeichnisse wurden überprüft 6381 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 6379 Dateien ohne Befall 66 Archive wurden durchsucht 0 Warnungen 0 Hinweise Man kann im hijackthis-logfile nichts erkennen, richtig? Kann es vielleicht sein, dass es daran liegt, weil die beiden Dateien in Quarantäne sind? |
beide schädlinge sind in der Systemwiederherstellung also müsste es genügen die Systemherstellung zu deaktivieren |
Genau... Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Cleriker |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board