Trojaner-Board - Virus enthalten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virus enthalten (https://www.trojaner-board.de/45364-virus-enthalten.html)

Hallo!
Könnt ihr mal bitte dieses Logfile prüfen?
Zwei Sachen hat er angezeigt, nur weiß ich leider nicht, wie ich die wegbekomme.

Bild im Browser ruckelt teilweise von alleine - was könnte das sein?

Logfile of HijackThis v1.99.1
Scan saved at 15:34:06, on 02.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\AOL\1175248775\ee\AOLSoftware.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Telekom\Eumex 200\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\TClock 2.28\TClock.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Nicole\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 200\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [uwa6pcw] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\uwa6pcw.exe" -c
O4 - HKLM\..\Run: [WinAntiVirusPro2006] C:\Programme\WinAntiVirus Pro 2006\winav.exe /min
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1175248775\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Taskmanager.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Startup: TClock.lnk = C:\Programme\TClock 2.28\TClock.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Gemeinsame Dateien\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A899ADD-6539-465D-B05F-D90FC571CE78}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A899ADD-6539-465D-B05F-D90FC571CE78}: NameServer = 213.191.74.11 213.191.92.82
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: didymiums - {e6adaaf0-79b2-4cf1-a660-50a0b33991a1} - C:\WINDOWS\system32\vblhanf.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Danke!

Gruß Minksi

Ich lasse gerade Spybot drüberlaufen - poste gleich ein neues Logfile.

Gruß Minksi

Hab noch eine Frage, bevor ich das neue logfile poste (hab 28 Viren gefunden auf dem PC meiner Freundin - wow)

Die Systemwiederherstellung ist auf diesem PC aktiviert.
Es waren unter den gefundenen Viren einige Trojaner - muß ich nun damit rechnen, wenn ich den PC runter- und wieder hochfahre, daß die wieder da sind aufgrund der Systemwiederherstellung?

Wäre es sinnvoller, diese zu deaktivieren? Hier auf dem Rechner ist auch Acronis drauf - deshalb meine Frage.

Und was bedeuten diese Einträge?

O4 - HKLM\..\RunOnce: [SpybotDeletingA3067] command /c del "C:\WINDOWS\system32\vblhanf.dll_old"

Gruß Minksi

So - das neue Logfile: Bin gespannt, was ihr sagt.

Logfile of HijackThis v1.99.1
Scan saved at 18:40:58, on 02.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\1175248775\ee\AOLSoftware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
D:\aawservice.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Nicole\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 200\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1175248775\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [SpybotDeletingA3067] command /c del "C:\WINDOWS\system32\vblhanf.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1476] cmd /c del "C:\WINDOWS\system32\vblhanf.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9044] command /c del "C:\WINDOWS\system32\vblhanf.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1904] cmd /c del "C:\WINDOWS\system32\vblhanf.dll_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB4280] command /c del "C:\WINDOWS\system32\vblhanf.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD882] cmd /c del "C:\WINDOWS\system32\vblhanf.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6617] command /c del "C:\WINDOWS\system32\vblhanf.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6746] cmd /c del "C:\WINDOWS\system32\vblhanf.dll_old"
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Taskmanager.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Startup: TClock.lnk = C:\Programme\TClock 2.28\TClock.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A899ADD-6539-465D-B05F-D90FC571CE78}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A899ADD-6539-465D-B05F-D90FC571CE78}: NameServer = 213.191.74.11 213.191.92.82
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Danke!
Gruß Minksi

Hallo!
Also - ich hab je gestern bei meiner Freundin den PC auf Viren untersucht und auch einige gefunden.
Darunter waren auch mind. ein Trojaner, den ich mit Hilfe von Antivir gelöscht habe.
Spybot hab ich anschliessend dreimal drüberlaufen lassen und jedesmal hat er wieder irgendwas gefunden als DAtei.
Um jetzt genau sagen zu können, um welche Viren es sich gehandelt hat, die ich mit Hilfe von Antivir gelöscht habe, müsste ich zu meiner Freundin (wenns wichtig ist - fahre nachher aber hin ... müsst es nur sagen, ob ihr die Namen braucht).

Vorher hab ich versucht, die gefundenen Sachen (alles Registryeinträge) über Spybot zu löschen - dabei hat sich Spybot bei einer Datei grundsätzlich aufgehängt (irgendwas mit didiminus oder so ähnlich).

Was kann ich jetzt noch machen, um ihren PC wieder sauberzubekommen?
Logfile (der letzte - siehe oben) sieht recht gut aus ... aber ich weiß auch, daß Trojaner sich immer wieder neu einnisten können, trotz vorheriger Beseitigung (wegen Hintertüren und so).

Bitte helft mir ...

Gruß Minksi

Schonmal was vom Edit Button gehört:kloppen:
Mfg Trojanerade

Oh nein nicht winantivirus

C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\uwa6pcw.exe
C:\Programme\WinAntiVirus Pro 2006\winav.exe

Scanne bitte mal folgende Dateien bei Vt

VirusTotal - Kostenloser online Viren- und Malwarescanner

nach einander mit Md5 und Hash

Hi!
Endlich jemand, der mit mir spricht *freu*

Die genannten Dateien hab ich über Antivir löschen können. Sind also nicht mehr drauf, so daß ich sie auch nicht mehr scannen lassen kann.
Meine Freundin ist nicht so gut im PC-Innenleben - hat zwar fleissig Updates von Antivir gemacht, aber den PC nie scannen lassen *möp*

Das hab ich dann gestern gemacht, weil der so unglaublich langsam war.

Schau Dir bitte das zweite Logfile an - das war dann nach der ersten Säuberunsaktion.

Was kann ich noch machen?

Gruß Minksi

Oje bentutzt du einen Proxy Server wenn nicht muss t du anscheinend neu aufsetzen

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A899ADD-6539-465D-B05F-D90FC571CE78}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A899ADD-6539-465D-B05F-D90FC571CE78}: NameServer = 213.191.74.11 213.191.92.82

Ich bitte einen Mod sich mal die Ips genauer anzuschauen:(

http://www.trojaner-board.de/12154-a...sicherung.html

Wie bekomme ich denn raus, ob meine Freundin über einen Proxy surft oder nicht?

Internetzugang läuft über Alice und DSL-Modem.

Gruß Minksi

Ok,Ich meinte ob sie Anyomitätsoftware nutzt wenn nicht dann musst du anscheinend neu aufsetzen:heulen:
Warte mal das haben wir gleich raus

Geh bitte beim I-ternet explorer auf InternetOptionen->Verbindungen->-Lan einstellung

Wenn dort nichts eingegeben ist und kein Haken gesetzt ist muss du warscheinlich neu aufsetzen

Wie wärs mit nem Escan

http://www.trojaner-board.de/42731-escan-anleitung.html

Soweit mir bekannt ist, nutzt sie sowas nicht.

Ich hab gehofft, daß ich ums Neuaufsetzen rumkomme - hab sowas noch nie gemacht .

Andere Möglichkeit gibts nicht?

Gruß Minksi

Zitat:

Zitat von Trojanerade (Beitrag 302916)

Neuaufsetzen? Warum? :confused:

Die IP-Adresse ist meiner Ansicht nach in Ordnung, sie gehört zu Hansenet.

@minski

Ist Hansenet dein ISP?

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\vblhanf.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Deaktiviere nun den TeaTimer von Spybot!
Führe dann einen eScan aus.

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

Alice läuft glaub ich über Hansenet - wenn ich mich recht erinnere.

Okay - um das andere zu machen, muß ich mal zu meiner Freundin fahren ... poste dann nachher alles.

Gruß Minksi

Dann werde ich meine Dummheit zurück ziehen wollte eigentlich auch grad nach nem escan fragen:heulen:
Das einzige fraglich war das Sich kein einziger bis heute drum gekümmert hatte!

Zitat:

Zitat von Minksi (Beitrag 302928)

Alice läuft glaub ich über Hansenet - wenn ich mich recht erinnere.

Richtig! :daumenhoc -> Firmenprofil Alice (HanseNet Telekommunikation GmbH)

So - ich hab keine Ahnung, ob ich das jetzt richtig gemacht habe ... hatte erst aus Versehen im nicht abgesicherten Modus gesannt und irgendwann abgebrochen - bis dahin hatte er 22 Viren gefunden.
Im abgesicherten Modus dann nur noch 20.

Das dauert ja ganz schön lange, bis der Scan fertig ist ...

Die Datei, die ich bei Virustotal auswerten sollte, hab ich übrigens nicht gefunden - trotz Anzeige der versteckten Dateien.

Hier der Escan ... hoffe, das ist richtig ... sonst muß ich das die nächsten Tage nochmal machen ...

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Header 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  

find.bat Version 2007.06.16.01 
 

Microsoft Windows XP [Version 5.1.2600]

Bootmodus: NORMAL 

    

eScan Version: 9.5.1 

Sprache: German 

Virus-Datenbank Datum: 10/30/2007  

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Infektionsmeldungen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Object "zlob Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "drivecleaner2006 Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: Keine Aktion vorgenommen. 

 System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: Keine Aktion vorgenommen. 

 System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. 

 

 

~~~~~~~~~~~ 
 Dateien 

~~~~~~~~~~~ 

~~~~ Infected files 

~~~~~~~~~~~ 

 Datei C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\temp.frECEF\Download\pblmlfjx\enemies1410.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 

~~~~~~~~~~~ 

~~~~ Tagged files 

~~~~~~~~~~~ 

 File C:\Dokumente und Einstellungen\Carsten\Anwendungsdaten\errorsafegermannewreleaseinstall[1].exe markiert als "not-a-virus:Downloader.Win32.WinFixer.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\hd8xjsn9.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\NI.UERSU_9999_N91S2009\setup.exe markiert als "not-a-virus:FraudTool.Win32.Errorsafe.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\w6w4vior.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\~wa6psetup.exe//file011 markiert als "not-a-virus:FraudTool.Win32.BestSeller.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M3GR9UJI\installdrivecleanerstart_de[1].cab//UDC6U_0001_D19M0709NetInstaller.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MF0FM5CR\installdrivecleanerstart_de[1].exe markiert als "not-a-virus:Downloader.Win32.WinFixer.ar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SH2745U7\ErrorSafeGermanNewReleaseInstall[1].exe markiert als "not-a-virus:Downloader.Win32.WinFixer.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0X5V59N\avg_setup[1].exe//data0007//Armadillo markiert als "not-a-virus:FraudTool.Win32.AntivirusGolden.3960". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0X5V59N\WinAntiVirusPro2006FreeInstall_de[1].exe markiert als "not-a-virus:Downloader.Win32.WinFixer.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.l". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\RECYCLER\S-1-5-21-682003330-2146942695-839522115-1005\Dc14.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

 File C:\RECYCLER\S-1-5-21-682003330-2146942695-839522115-1005\Dc19.exe markiert als "not-a-virus:Downloader.Win32.WinFixer.o". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 

~~~~~~~~~~~ 

~~~~ Offending files 

~~~~~~~~~~~ 

 Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\online security guide.url 

 Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\security troubleshooting.url 

 Offending file found: C:\WINDOWS\system32\unrar.dll 

~~~~~~~~~~~ 
 Ordner 

~~~~~~~~~~~ 

 Offending Folder found: C:\Programme\Gemeinsame Dateien\drivecleaner 2006 free 

 Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024 

~~~~~~~~~~~ 
 Registry 

~~~~~~~~~~~ 

 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\media-codec !!! 

 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{424d8662-4f3c-11dc-9173-00038a000015} !!! 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Diverses 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~ 
 Prozesse und Module 

~~~~~~~~~~~~~~~~~~~~~~ 

~~~~~~~~~~~~~~~~~~~~~~ 
 Scanfehler 

~~~~~~~~~~~~~~~~~~~~~~ 

 C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\temp.frECEF\Download\gdlnpjow\SCANKRNL.DLL nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SH2745U7\ErrorSafeGermanNewReleaseInstall[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

 C:\Programme\Gemeinsame Dateien\aol\System Information\sysres.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 

~~~~~~~~~~~~~~~~~~~~~~ 
 Hosts-Datei 

~~~~~~~~~~~~~~~~~~~~~~ 

DataBasePath: %SystemRoot%\System32\drivers\etc 

Zeilen die nicht dem Standard entsprechen: 

C:\WINDOWS\System32\drivers\etc\hosts :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Statistiken: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Scan-Optionen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

 Specherüberprüfung: Aktiviert 

 Registry Überprüfung: Aktiviert 

 System-Ordner Überprüfung: Aktiviert 

 Überprüfung der Systembereiche: Deaktiviert 

 Überprüfung der Dienste: Aktiviert 

 Überprüfung der Festplatten: Deaktiviert 

 Überprüfung aller Festplatten :Aktiviert 

 

Batchstart: 20:09:53,95 

Batchende: 20:10:00,35

Gruß Minksi

Sorry - wenn es hier einen Edit-Button geben sollte, dann finde ich ihn nicht ... .o(

Wollte noch hinzufügen - die Systemwiederherstellung hab ich auf dem Rechner meiner Freundin am Freitag bereits deaktiviert.

Hab bei ihr vorhin noch ein Programm von einer PC-Welt CD aufgespielt, mit dem man gucken kann, was alles im Autostart sitzt.
Auch dort war ein Virus drin, den ich mit diesem Programm zumindest aus dem Autostart genommen habe.
Ob er sich nicht wieder von alleine einträgt, weiß ich nicht.

Fakt ist, daß mindestens 20 Viren noch drauf sind - von ursprünglich 28 und ich zwar 28 mit Hilfe von Antivir am Freitag gelöscht habe, allerdings - so wie man sieht - ohne Erfolg.

Daß ich die Datei, die ich für Virustotal hochladen sollte, nicht gefunden habe, liegt wohl daran, daß ich erst ein Logfile, dann Antivir und anschliessend noch ein Logfile gemacht habe ... da war die beteffende Datei wohl unter denen, die über Antivir erfolgreich gelöscht wurden.

Gruß Minksi

So - ich hab jetzt am PC meiner Freundin mal Combofix durchlaufen lassen ... bitte mal draufschauen und antworten!

Danke!

Code:

ComboFix 07-11-06.4 - Nicole 2007-11-06 17:35:27.2 - NTFSx86 

ausgeführt von:: D:\ComboFix.exe

.
 

(((((((((((((((((((((((   Dateien erstellt von 2007-10-06 bis 2007-11-06  ))))))))))))))))))))))))))))))

.
 

2007-11-06 16:03        51,200        --a--c---        C:\WINDOWS\NirCmd.exe

2007-11-06 15:25        <DIR>        d----c---        C:\Programme\Yahoo!

2007-11-03 20:17        <DIR>        d----c---        C:\PCWELT

2007-11-03 20:00        <DIR>        dr---c---        C:\Dokumente und Einstellungen\Administrator\Eigene Dateien

2007-11-03 18:00        <DIR>        d----c---        C:\Dokumente und Einstellungen\Administrator\Vorlagen

2007-11-03 18:00        <DIR>        dr---c---        C:\Dokumente und Einstellungen\Administrator\Startmenü

2007-11-03 18:00        <DIR>        d--h-c---        C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung

2007-11-03 18:00        <DIR>        d--h-c---        C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen

2007-11-03 18:00        <DIR>        d----c---        C:\Dokumente und Einstellungen\Administrator\Favoriten

2007-11-03 18:00        <DIR>        d--h-c---        C:\Dokumente und Einstellungen\Administrator\Druckumgebung

2007-11-03 18:00        <DIR>        dr-h-c---        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

2007-11-03 17:04        <DIR>        d-a--c---        C:\WINDOWS\zts2.exe

2007-11-03 17:04        <DIR>        d-a--c---        C:\WINDOWS\system32\vcmgcd32.dll

2007-11-03 17:04        <DIR>        d-a--c---        C:\WINDOWS\system32\systems.txt

2007-11-03 17:04        <DIR>        d-a--c---        C:\WINDOWS\system32\iifgfgf.dll

2007-11-03 17:04        <DIR>        d-a--c---        C:\WINDOWS\rundll16.exe

2007-11-03 17:04        <DIR>        d-a--c---        C:\WINDOWS\rundl132.dll

2007-11-03 17:04        <DIR>        d-a--c---        C:\WINDOWS\logo1_.exe

2007-11-03 17:01        153,600        --a--c---        C:\WINDOWS\R.COM

2007-11-03 17:01        140,800        --a--c---        C:\WINDOWS\system32\T.COM

2007-11-03 16:06        21,840        --a--c-t-        C:\WINDOWS\system32\SIntfNT.dll

2007-11-03 16:06        17,212        --a--c-t-        C:\WINDOWS\system32\SIntf32.dll

2007-11-03 16:06        12,067        --a--c-t-        C:\WINDOWS\system32\SIntf16.dll

2007-11-03 16:05        <DIR>        d----c---        C:\KA

2007-11-03 15:24        <DIR>        d----c---        C:\Programme\QuickTime

2007-11-03 15:24        969,216        --a--c---        C:\WINDOWS\system32\qd3d.dll

2007-11-03 15:24        596,992        --a--c---        C:\WINDOWS\system32\rave.dll

2007-11-03 15:24        127,488        --a--c---        C:\WINDOWS\system32\3dviewer.dll

2007-11-03 15:24        27,136        --a--c---        C:\WINDOWS\system32\qtuninst.dll

2007-11-03 15:23        302,592        --a--c---        C:\WINDOWS\unin0407.exe

2007-11-03 15:20        328,704        --a--c---        C:\WINDOWS\IsUn0407.exe

2007-11-03 15:19        <DIR>        d----c---        C:\Dokumente und Einstellungen\Nicole\WINDOWS

2007-11-03 12:07        <DIR>        d----c---        C:\TIVOLA

2007-11-03 12:07        183,040        --a--c---        C:\WINDOWS\PI.EXE

2007-11-02 16:05        <DIR>        d----c---        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2007-11-02 15:44        <DIR>        d----c---        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft

2007-11-02 15:43        <DIR>        d----c---        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-11-02 14:45        ---------        dc----w        C:\Programme\Lavasoft

2007-11-02 14:45        ---------        dc----w        C:\Dokumente und Einstellungen\Carsten\Anwendungsdaten\Lavasoft

2007-10-26 18:19        ---------        dc----w        C:\Programme\Paint Shop Pro 5

2007-09-15 12:18        ---------        dc----w        C:\Programme\mobile PhoneTools

2007-09-11 13:04        ---------        dc----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2007-08-21 06:16        683,520        -c--a-w        C:\WINDOWS\system32\inetcomm.dll

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-08-06 19:03]

"Acronis True Image Monitor"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-08 21:00]

"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-08 21:00]

"Ulead AutoDetector"="C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-03-24 19:28]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 12:03]

"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 13:42]

"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1175248775\ee\AOLSoftware.exe" [2006-11-17 14:16]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 16:55]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]

"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]
 

C:\Dokumente und Einstellungen\Carsten\Startmen\Programme\Autostart\

Microsoft-Indexerstellung.lnk - C:\Programme\Microsoft Office\Office\FINDFAST.EXE [1996-11-14 23:00:00]

Office-Start.lnk - C:\Programme\Microsoft Office\Office\OSA.EXE [1996-11-14 23:00:00]

Taskmanager.lnk - C:\WINDOWS\system32\taskmgr.exe [2004-08-05 13:00:00]

TClock.lnk - C:\Programme\TClock 2.28\TClock.exe [2005-10-08 19:46:36]
 

C:\Dokumente und Einstellungen\Nicole\Startmen\Programme\Autostart\

Microsoft-Indexerstellung.lnk - C:\Programme\Microsoft Office\Office\FINDFAST.EXE [1996-11-14 23:00:00]

Office-Start.lnk - C:\Programme\Microsoft Office\Office\OSA.EXE [1996-11-14 23:00:00]

Taskmanager.lnk - C:\WINDOWS\system32\taskmgr.exe [2004-08-05 13:00:00]

TClock.lnk - C:\Programme\TClock 2.28\TClock.exe [2005-10-08 19:46:36]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

CAPIControl.lnk - C:\Programme\Telekom\Eumex 200\Capictrl.exe [2005-02-22 09:47:42]

hp psc 2000 Series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2002-05-29 13:57:06]

officejet 6100.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe [2002-05-29 13:57:28]

Ulead Kalendar Checker 4.0 SE.lnk - C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2005-11-09 21:35:44]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk

backup=C:\WINDOWS\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk

backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]

C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDR6U_Check]

"C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
 

R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys

R0 timounter;Acronis TrueImage Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys

R2 CAPI20;Eumex 220PC;C:\WINDOWS\system32\drivers\capi20.sys

R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys

R2 tifsfilter;Acronis TrueImage FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys

S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{424d8662-4f3c-11dc-9173-00038a000015}]

\Shell\AutoRun\command - E:\USBSuite.exe
 

.

Inhalt des "geplante Tasks" Ordners

"2005-10-08 19:54:58 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1128799035.job"

- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe

.

**************************************************************************
 

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-06 17:37:11

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen 

versteckte Dateien: 0 
 

**************************************************************************

.

Zeit der Fertigstellung: 2007-11-06 17:38:00

C:\ComboFix2.txt ... 2007-11-06 17:32

.

        --- E O F ---

Gruß Minksi

Zitat:

Zitat von Minksi (Beitrag 303563)

So - ich hab jetzt am PC meiner Freundin mal Combofix durchlaufen lassen ... bitte mal draufschauen und antworten!

Was hat denn jetzt der PC deiner Freundin mit deinem Problem zu tun? :confused:
Habe ich irgendetwas inspiratives verpasst?

Was ich aber noch vermisse ist die Auswertung der Datei:

Zitat:

Zitat von Sunny

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

C:\WINDOWS\system32\vblhanf.dll

Zitat:

Was hat denn jetzt der PC deiner Freundin mit deinem Problem zu tun?
Habe ich irgendetwas inspiratives verpasst?

Einfach soviel, daß es von Anfang an um den PC meiner Freundin ging ... mein eigener PC ist sauber *gg*

Zitat:

Was ich aber noch vermisse ist die Auswertung der Datei:

Dazu hatte ich bereits am Anfang geschrieben, daß ich diese Datei nicht mehr finden kann. Event. ist sie im Zuge der Reinigung über Antivir schon mit gelöscht worden.
Tut mir leid ...

Allerdings sind wohl noch reichlich Viren vorhanden. Deswegen auch der Durchlauf mit Combofix ... und beim eScan bin ich mir nicht sicher, ob ich das alles richtig gemacht habe (hab ich auch schon gepostet).

Vielleicht mag mir jetzt einer helfen? Bitte!

Gruß Minksi

Hallo!
Schade - keine Antwort bekommen ... :(

Ich hab heute bei dem Rechner meiner Freundin (der die Virenprobleme hat), Antivir drüberlaufen lassen.
Beim letzten Mal hat AV 28 Viren gefunden, die ich gelöscht habe.
Heut kein Fund.

Ich liste aber mal die Viren auf, die Antivir beim erstem Mal gefunden hatte - hoffe, ihr könnt mir da was genaueres zu sagen und auch, was ich nun weiter machen muß an ihrem Rechner.
eScan und Combofix hatte ich bereits gepostet - die eine Datei, die noch gewünscht wurde, ist nicht vorhanden. Ist alles vom letzten - also aktuellen Stand (wurde nichts geändert in den letzten Tagen).

Code:

(14x)

Die Datei 'C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\temp.frECEF\Download\whsuhlnz\SCANKRNL.DLL'

enthielt einen Virus oder unerwünschtes Programm 'Turbo-Kukac' [virus].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.
 

(7 x)

Die Datei 'C:\RECYCLER\S-1-5-21-682003330-2146942695-839522115-1005\Dc7.exe'

enthielt einen Virus oder unerwünschtes Programm 'DR/Zlob.Gen' [dropper].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.
 

(1x)

Die Datei 'C:\RECYCLER\S-1-5-21-682003330-2146942695-839522115-1005\Dc10.exe'

enthielt einen Virus oder unerwünschtes Programm 'DR/FraudTool.AntiVermins.A.1' [dropper].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.
 

Die Datei 'C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\temp.fr5DA7\uninst.exe'

enthielt einen Virus oder unerwünschtes Programm 'TR/Drop.Zlob.CJ.3.B' [trojan].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.
 

Die Datei 'C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\temp.fr5DA7\pmunst.exe'

enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Zlob.Gen' [trojan].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.
 

Die Datei 'C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\afkyxsg9.exe'

enthielt einen Virus oder unerwünschtes Programm 'DR/Zlob.Gen' [dropper].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.
 

Die Datei 'C:\Dokumente und Einstellungen\Carsten\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\version.jar-7239fec5-3dfdfdf9.zip'

enthielt einen Virus oder unerwünschtes Programm 'JAVA/ClassLoader.GE' [virus].

Durchgeführte Aktion(en):

Die Datei wurde gelöscht.

Soweit ich das sehen kann, ist Zlob doch ein Trojaner ... inwiefern muß man da jetzt was beachten oder machen oder so?

Meine Freundin möchte nämlich gerne Onlinebanking machen und sie möchte natürlich nichts riskieren.

Etwaige Lösungsvorschläge kann ich umsetzen, wenn ich wieder hier am Rechner meiner Freundin bin.

Gruß und Danke
Minksi