Hallo zusammen,
ich habe ein Problem mit ein paar Schädlingen. Um genau zu sein geht es um den Scriptvirus VBS/Agent.1002 und die Trojaner TR/FakeAV.AM und TR/Fakealert.AAF.
Ich weiß nicht, ob es mit diesen Schädlingen zu tun hat, aber seit ein paar Tagen bekomme ich direkt nach Systemstart eine Reihe von Fehlermeldungen dieser Art: Internet Explorer Skriptfehler, in dem Skript auf dieser Seite ist ein Fehler aufgetreten. Soll es weiterhin ausgeführt werden?
Dummerweise reagieren die Fenster nicht auf die Ja/Nein Klicks, lassen sich aber verschieben. Nur das vorderste Fenster ist selektierbar.
Defenitiv mit den Schädlingen hängen aber folgende Probleme zusammen: Zum einen wird bei jedem Systemstart eine Installationsroutine für AntiVir XP 2008 ausgeführt, welches ja bekanntlicherweise schädlich ist. Also muss ich schonmal bei jedem Start in den Taskmanager.
Außerdem wird bei jedem Start meine Windows Firewall deaktiviert und zwar komplett mit Dienst! Also muss ich jedesmal den verdammten Dienst neu starten, wenn ich nicht leichte Beute für Eindringlinge sein will. Obwohl die Routerfirewall das schlimmste abwenden dürfte.
Zusätzlich habe ich auch noch ein schönes neues Hintergrundbild verpasst bekommen, das sich nicht mehr ändern lässt, da in den Desktopeinstellungen der Hintergrundbild-Reiter fehlt.
Und zu guter letzt habe ich geradeeben auch noch eine Meldung von der Firewall bekommen, ob ich weiterhin einen Dienst namens svchost blockem möchte. Kurzum: Jede Menge Ärger.
Ich habe die drei Quälgeister eigentlich schon von AV löschen lassen, nur dummerweise sind die Symptome geblieben. Daher wende ich micht jetzt an euch.
Ich habe WinXP mit SP2, Antivir (Personal Edition) und die Windows Firewall plus Hardware Firewall im Router.
Hier das Protokoll vom AntiVir Suchlauf:
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. September 2008 13:17
Es wird nach 1612438 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***
Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 25.07.2008 17:41:20
AVSCAN.DLL : 8.1.4.0 48897 Bytes 25.07.2008 17:41:20
LUKE.DLL : 8.1.4.5 164097 Bytes 25.07.2008 17:41:20
LUKERES.DLL : 8.1.4.0 12545 Bytes 25.07.2008 17:41:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:25:50
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 19:31:40
ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 18:14:56
ANTIVIR3.VDF : 7.0.6.154 2048 Bytes 12.09.2008 18:14:56
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 19.04.2008 18:10:32
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 09.09.2008 09:56:16
AESCN.DLL : 8.1.0.23 119156 Bytes 25.07.2008 17:41:22
AERDL.DLL : 8.1.1.1 397683 Bytes 09.09.2008 09:56:16
AEPACK.DLL : 8.1.2.1 364917 Bytes 25.07.2008 17:41:22
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 09.09.2008 09:56:14
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 09.09.2008 09:56:12
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.05.2008 14:38:10
AEGEN.DLL : 8.1.0.36 315764 Bytes 23.08.2008 10:38:08
AEEMU.DLL : 8.1.0.7 430452 Bytes 05.08.2008 07:49:40
AECORE.DLL : 8.1.1.11 172406 Bytes 09.09.2008 09:56:08
AEBB.DLL : 8.1.0.1 53617 Bytes 25.07.2008 17:41:20
AVWINLL.DLL : 1.0.0.12 15105 Bytes 25.07.2008 17:41:20
AVPREF.DLL : 8.0.2.0 38657 Bytes 25.07.2008 17:41:20
AVREP.DLL : 8.0.0.2 98344 Bytes 05.08.2008 07:49:20
AVREG.DLL : 8.0.0.1 33537 Bytes 25.07.2008 17:41:20
AVARKT.DLL : 1.0.0.23 307457 Bytes 19.04.2008 18:10:30
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 25.07.2008 17:41:20
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.04.2008 18:10:32
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 25.07.2008 17:41:20
NETNT.DLL : 8.0.0.1 7937 Bytes 19.04.2008 18:10:32
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 25.07.2008 17:41:18
RCTEXT.DLL : 8.0.52.0 86273 Bytes 25.07.2008 17:41:18
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus
Beginn des Suchlaufs: Montag, 15. September 2008 13:17
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kkqclocd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooWidgetEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooWidgetEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooWidgetEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YahooWidgetEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GetRight.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmartDoctor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SAFECNMEMORY8.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrayIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLANMini.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTASK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JUSCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opwareSE2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINVNC4.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OODAG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NVSVC32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FileZillaServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDANTSRV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '49' Prozesse mit '49' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '65' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\admin.***.000\Lokale Einstellungen\Temp\.tt51.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\admin.***.000\Lokale Einstellungen\Temp\nsp58.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\phceu7j0e39a.bmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.AAF
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'
Ende des Suchlaufs: Montag, 15. September 2008 15:56
Benötigte Zeit: 2:38:52 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
49899 Verzeichnisse wurden überprüft
1690526 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
1690522 Dateien ohne Befall
19706 Archive wurden durchsucht
1 Warnungen
3 Hinweise
Ich hoffe ihr könnt mir weiterhelfen.
Vielen Dank im Voraus
taouri
