|
"Generic!atr" mit dem Element "autorun.inf"-Wie kann ich dieses entfernen??? Hallo, ich habe Windows Vista Home Premium mit Mc Afee und Avira Antivir Personal. Ich habe ein Programm, bestätigt, von dem ich dachte, dass es nicht bösartig sei, doch ich habe mich geirrt. Denn sofort nach dem ich es öffnete, sagte mit McAfee, dass es ein Trojaner mit dem Erkennungsnamen "Generic!atr" entfernt habe, doch nach kurzer Zeit kam diese Meldung erneut und erneut. Avira hat mir das gezeigt: In der Datei 'C:\Users\*\AppData\Local\Temp\tmpBF3B.tmp' wurde ein Virus oder unerwünschtes Programm 'TR/Passcrack.B' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Dann hab ich versucht dies zu löschen, doch es ging nicht. Danach hab ich in den Bericht von McAffe geschaut und der hat mt gesagt, das es die bösartige Datei in dem Folgendem gefunden habe: C:\Users\*\AppData\Local\Temp\Rar$EX02.695 Diese Datei hab ich dann sowohl so, als auch aus dem Papierkorb gelöscht, doch die Meldungen von McAfee kommen immer noch regelmäßig. Ich hoffe, dass ihr mir vielleicht helfen könnt, damit ich das formatieren der Festplatte vermeiden kann. Danke schon mal Kill_Bill |
Hallo, es ist nie gut, zwei AVP's am Laufen zu haben. Entscheide dich für eins. Erstelle zudem noch ein regelkonformes HijackThis Logfile und poste es hier. mfg |
Danke schonmal. Hier ist mein Logfile #Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:39:47, on 30.10.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16757) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\McAfee.com\Agent\mcagent.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Spyware Doctor\pctsTray.exe D:\Programme\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe D:\Programme\ICQ 6\ICQ6\ICQ.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Users\*\Desktop\mouse.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Windows\ehome\ehmsas.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Windows Media Player\wmplayer.exe C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe D:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\McAfee\MSC\mcshell.exe D:\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p:\\www.samsungcomputer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll O2 - BHO: adzgalore - {8f3ea2de-973c-e317-28e9-348fadb6267d} - C:\Windows\system32\nso18F2.dll (file missing) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [tsnpstd3] C:\Windows\tsnpstd3.exe O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [avgnt] "D:\Programme\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ 6\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - Startup: mouse - Verknüpfung.lnk = C:\Users\*\Desktop\mouse.exe O4 - Startup: Mozilla Firefox.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Suche - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ 6\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ 6\ICQ6\ICQ.exe O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan\McShield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - D:\Programme\TeamViewer3\TeamViewer_Service.exe -- End of file - 8717 bytes # |
Hi, Zitat:
Zitat:
Zitat:
Bitte gehe die folgenden Punkte zwecks weiteren Analyse durch: 1.) Dateien Online überprüfen lassen:
Code: C:\Users\*\Desktop\mouse.exe
2.) SDFix anwenden:
mfg |
Hich hab die datei #mouse.exe# bei V*rustotal hochgeladen und überprüfen lassen und schicke hier das ERgebins, doch ich glaube nicht das dies der Grund ist, da dieses Programm ein Mousometer ist umd z.B. die Klicks zu zählen und es immer funktioniert hat. Ich weiß welches Programm schuld sein könnte, da ich es ja heruntergeladen hab, doch ich glaube, dass ich das bereits gelöscht habe. Hier das Ergebnis: # Datei mouseometer2.exe empfangen 2008.09.03 20:23:10 (CET) Status: Beendet Ergebnis: 0/36 (0.00%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.9.3.0 2008.09.03 - AntiVir 7.8.1.23 2008.09.03 - Authentium 5.1.0.4 2008.09.03 - Avast 4.8.1195.0 2008.09.03 - AVG 8.0.0.161 2008.09.03 - BitDefender 7.2 2008.09.03 - CAT-QuickHeal 9.50 2008.09.02 - ClamAV 0.93.1 2008.09.03 - DrWeb 4.44.0.09170 2008.09.03 - eSafe 7.0.17.0 2008.09.03 - eTrust-Vet 31.6.6066 2008.09.03 - Ewido 4.0 2008.09.03 - F-Prot 4.4.4.56 2008.09.03 - F-Secure 8.0.14332.0 2008.09.03 - Fortinet 3.14.0.0 2008.09.03 - GData 19 2008.09.03 - Ikarus T3.1.1.34.0 2008.09.03 - K7AntiVirus 7.10.439 2008.09.03 - Kaspersky 7.0.0.125 2008.09.03 - McAfee 5376 2008.09.03 - Microsoft 1.3903 2008.09.03 - NOD32v2 3412 2008.09.03 - Norman 5.80.02 2008.09.03 - Panda 9.0.0.4 2008.09.02 - PCTools 4.4.2.0 2008.09.03 - Prevx1 V2 2008.09.03 - Rising 20.60.21.00 2008.09.03 - Sophos 4.33.0 2008.09.03 - Sunbelt 3.1.1582.1 2008.09.02 - Symantec 10 2008.09.03 - TheHacker 6.3.0.8.070 2008.09.02 - TrendMicro 8.700.0.1004 2008.09.03 - VBA32 3.12.8.4 2008.09.03 - ViRobot 2008.9.2.1361 2008.09.03 - VirusBuster 4.5.11.0 2008.09.03 - Webwasher-Gateway 6.6.2 2008.09.03 - weitere Informationen File size: 118784 bytes MD5...: dca2156e8f9f68ea83a77ed7cefe9a43 SHA1..: 2c07488dd5463fa4dc0c942261ef2859791eebe8 SHA256: 0cc2f476e1365721d599a63917a1d108c19084edd1e5cf554e136ee6f803a534 SHA512: 878f380c5d8be091159c8c84979f4714149324193d28f2d8c739ce20b8c7f476 cfca1ad4f41d1c231049ea85ed7568e854886756e2422788d333c2acc68ad632 PEiD..: - TrID..: File type identification Win32 Executable Microsoft Visual Basic 5 (90.9%) Win32 Executable Generic (3.4%) Win32 Dynamic Link Library (generic) (3.0%) Win16/32 Executable Delphi generic (0.8%) Generic Win/DOS Executable (0.8%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4017f4 timedatestamp.....: 0x36e25b12 (Sun Mar 07 10:55:14 1999) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x19134 0x19200 5.54 6ca9f2b787430dbd85e4255f3aa52dd9 .data 0x1b000 0x2ba8 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b .idata 0x1e000 0x878 0xa00 5.02 b92c26865c8c67deb0850d2f3e547dc6 .rsrc 0x1f000 0x7b0 0x800 3.31 57c49a5b7fefbc06925984fadfb0279a .reloc 0x20000 0x24c2 0x2600 6.37 29380e8c1e44357d6b015d3318b3698d ( 1 imports ) > MSVBVM50.DLL: -, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaFreeVarList, __vbaEnd, _adj_fdiv_m64, __vbaFreeObjList, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaStrBool, __vbaBoolStr, __vbaExitProc, __vbaOnError, __vbaObjSet, -, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, __vbaFPFix, _CIsin, __vbaChkstk, EVENT_SINK_AddRef, __vbaStrCmp, __vbaVarTstEq, __vbaR4Str, __vbaI2I4, __vbaObjVar, DllFunctionCall, _adj_fpatan, __vbaLateIdCallLd, __vbaStrR8, __vbaRecUniToAnsi, EVENT_SINK_Release, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, -, __vbaR8ErrVar, __vbaI2Str, __vbaVarDiv, -, __vbaFPException, __vbaStrVarVal, -, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaInStr, __vbaNew2, __vbaR8Str, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, __vbaFreeStrList, _adj_fdivr_m32, __vbaPowerR8, _adj_fdiv_r, -, __vbaI4Var, -, __vbaVarAdd, __vbaLateMemCall, __vbaStrToAnsi, __vbaVarDup, -, __vbaVarCopy, __vbaFpI4, __vbaLateMemCallLd, _CIatan, __vbaStrMove, _allmul, __vbaLateIdSt, _CItan, _CIexp, __vbaFreeObj, __vbaFreeStr, - ( 0 exports ) # |
Sieht ok aus, wenn es von dir gewollt ist... |
Ich habe mal das verdächtige Programm bei V*rusTotal hochgeladen und hier ist das Protokoll: # Datei SDFix.exe empfangen 2008.10.28 15:09:11 (CET) Status: Beendet Ergebnis: 9/36 (25.00%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.28.3 2008.10.28 - AntiVir 7.9.0.9 2008.10.28 - Authentium 5.1.0.4 2008.10.27 - Avast 4.8.1248.0 2008.10.28 - AVG 8.0.0.161 2008.10.28 - BitDefender 7.2 2008.10.28 - CAT-QuickHeal 9.50 2008.10.28 - ClamAV 0.93.1 2008.10.28 Trojan.Killproc-1 DrWeb 4.44.0.09170 2008.10.28 Tool.Prockill eSafe 7.0.17.0 2008.10.27 - eTrust-Vet 31.6.6177 2008.10.28 - Ewido 4.0 2008.10.28 - F-Prot 4.4.4.56 2008.10.27 - F-Secure 8.0.14332.0 2008.10.28 - Fortinet 3.117.0.0 2008.10.28 Misc/PrcViewer GData 19 2008.10.28 - Ikarus T3.1.1.44.0 2008.10.28 - K7AntiVirus 7.10.510 2008.10.28 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2008.10.28 - McAfee 5416 2008.10.28 potentially unwanted program PrcViewer Microsoft 1.4005 2008.10.28 - NOD32 3562 2008.10.28 Win32/PrcView Norman 5.80.02 2008.10.27 - Panda 9.0.0.4 2008.10.28 Generic Malware PCTools 4.4.2.0 2008.10.28 - Prevx1 V2 2008.10.28 - Rising 21.01.12.00 2008.10.28 - SecureWeb-Gateway 6.7.6 2008.10.28 Win32.Malware.gen!92 (suspicious) Sophos 4.35.0 2008.10.28 - Sunbelt 3.1.1760.1 2008.10.27 VIPRE.Suspicious Symantec 10 2008.10.28 - TheHacker 6.3.1.1.132 2008.10.28 - TrendMicro 8.700.0.1004 2008.10.28 - VBA32 3.12.8.8 2008.10.27 - ViRobot 2008.10.28.1441 2008.10.28 - VirusBuster 4.5.11.0 2008.10.27 - weitere Informationen File size: 1556227 bytes MD5...: c173a43991c05f012df572c1c9862637 SHA1..: da2873f233dd8e245eccff3d0c9c8cf4747008b1 SHA256: a3f058f61944a7f09250cd58b2440746e86b1fe56dfd088cffc86cfb41061311 SHA512: 09fd9d7bcbbcceeddc3ef96eed439dd3a1c2d287fc137e22ab9d0f331e5f796b 09eac8ddf1ade683236a5dd718ee70c8355a357f337ec338bcf2daa6ee682e0d PEiD..: - TrID..: File type identification WinRAR Self Extracting archive (95.7%) Win32 Executable Generic (1.5%) Win32 Dynamic Link Library (generic) (1.4%) Win32 Executable Watcom C++ (generic) (0.4%) Generic Win/DOS Executable (0.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x401000 timedatestamp.....: 0x45729e7c (Sun Dec 03 09:53:00 2006) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x13000 0x12e00 6.46 27da89cf72cfe54f5eff348f68e09631 .data 0x14000 0x7000 0xa00 4.76 380278eb5467999c3f4b2818c9afde97 .idata 0x1b000 0x1000 0x1000 5.11 63078940fde3ab31f45161cd9ff2d7fe .rsrc 0x1c000 0x4000 0x3c00 4.59 e91a0361d7098a65a9ae3435be4730c6 ( 8 imports ) > ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW > KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA > COMCTL32.DLL: - > COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA > GDI32.DLL: DeleteObject > SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA > USER32.DLL: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA > OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize ( 0 exports ) packers (Kaspersky): UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, UPX, UPX, UPX, UPX, UPX, UPX packers (F-Prot): RAR# |
Das Programm sollst du ausführen und nicht bei Virustotal hochladen. :rolleyes: |
Hallo, ich hab jetzt alle verdächtigen Dateien gelöscht und mit McAfee die Temporären Dateien im abgesicherten Modus gelöscht. Es kommen jetzt zwar keine Warnmeldungen mehr, doch mien PC ist total lahm und zeigt ständig CPU-Auslatung 100% an, außerdem sagt er alle 30 Sekunden, dass das Fenster keine Rückmeldung gibt. Kann man mir helfen, wenn ich ein weiteres LogFile von Highjiack hochstelle?? |
Hallo, ich hab mal eine Frage: Ich habe 2 Festplatten in meinem PC ('C' und 'D'), und der Virus, oder was es auch war, hat nur die kleinere Platte 'C' infiziert. Auf der Platte 'C' sind nur die Windows und Systemdateien (keine persöhnlichen Programme oder Dateien). (Jetzt meine Frage) Kann ich nicht einfach nur 'C' formatieren und Vista neu draufmachen??? |
Wenn du auf D: keine ausführbaren Dateien hast und du dich vergewissert hast, das auch keine autorun.inf vorhanden ist, dann ja. |
Ich habe alle meine Programme, die ich so brauche oder mal installiert habe, in 'D:\Programme\ nur die Programme, die von Anfang an drauf waren, sind auf 'C gespeichert. Noch ne Frage: Läuft SDFix auch auf Vista? mfg |
Na dann darfst du wohl beide Partitionen platt machen... Nein, SDFix ist nicht Vista-Kompatibel. |
Ich hab da noch nen par Fragen: 1. Gibt es so was änliches, wie SDFix, das mit Vista kompatibel ist? 2. Wie schaffe ich es, das mein PC wieder normal läuft (er sagt alle 30 Sekunden, dass das Fenster keine Rückmeldung gibt und er ist total lahm)? 3. Warum müsste ich denn beide Patien platt machen (laut Antiviren-Software war der Trojaner nur auf 'C)? 4. Wenn ich die von Windows mitgelieferte Wiederherstellungs-CD starte, wird dann automatisch auch 'D gelöscht? mfG |
1. Momentan nicht 2. Indem du dein System plattmachst (Neuaufsetzen) 3. Da man nicht ausschließen kann, das auch die Programme auf der anderen Partition befallen sind 4. Nein, D: musst du so formatieren: Rechtsklick => Formatieren... |
Also muss ich jetzt einfach ertma mit Wiederh.-CD neu machen? kann ich nen Fetsplatte (extern) anschließen um evtl. Daten zu retten oder geht die dann auch kaputt bei? mfg |
Kannst du machen, am besten dabei aber von einer Live CD wie Knoppix, BartPE, etc. zu starten. Unter Daten versteh ich alles, außer .exe, .bat, .pif, .com, .scr, etc.! |
Was ham denn diese anderen Programme (Knoppix, etc.) so besonderes?? Ich meinte mit Dteien hauptsächlich: .mp3, .doc, .txt und Bilder. Das geht, oder?? mfg |
Zitat:
Zitat:
|
Zitat:
mfg |
Zum Brennen von *.iso Dateien http://www.wintotal.de/Tipps/index.php?id=1212 |
Zitat:
Und wie bekomm ich dann das Betriebsystem da wieder drauf einfach dann die Wiederherstellungs-CD von Windows rein, oder wie?? mfg |
Du bootest von der Windows-CD. Alles andere ergibt sich dann von selber. ;) |
@Silent shark Ich glaube er braucht mehr Erklärung.... Knoppix ist ein Linux-Betriebssystem. Es kann als *.iso Datei heruntergeladen werden und muß dann auf eine CD gebrannt werden. Anleitung ist in dem Link. Du legst die CD dann ein startest neu und nach wenigen Minuten befindest dich in der Linux-Welt. Falls weitere Fragen hast Google doch. Du kannst auch Ubuntu 8.10 nehmen. |
Bin doch gerade dabei, einen Textbaustein zu erstellen, ... |
Hallo, da ich glaube den Virus jetzt gefunden zu haben, habe ich die Datei bei Virustotal hochgeladen und siehe da, das Ergebnis: [CODE] Datei autorun.inf empfangen 2008.10.31 18:55:53 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 13/36 (36.12%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.11.1.0 2008.10.31 - AntiVir 7.9.0.10 2008.10.31 - Authentium 5.1.0.4 2008.10.31 - Avast 4.8.1248.0 2008.10.31 - AVG 8.0.0.161 2008.10.31 Worm/AutoRun BitDefender 7.2 2008.10.31 Trojan.Autorun.ZH CAT-QuickHeal 9.50 2008.10.31 - ClamAV 0.94.1 2008.10.31 - DrWeb 4.44.0.09170 2008.10.31 Win32.HLLW.Autoruner.2805 eSafe 7.0.17.0 2008.10.30 - eTrust-Vet 31.6.6184 2008.10.31 - Ewido 4.0 2008.10.31 - F-Prot 4.4.4.56 2008.10.30 - F-Secure 8.0.14332.0 2008.10.31 Worm.Win32.AutoRun.onp Fortinet 3.117.0.0 2008.10.31 - GData 19 2008.10.31 Trojan.Autorun.ZH Ikarus T3.1.1.44.0 2008.10.31 Trojan.Autorun.ZH K7AntiVirus 7.10.513 2008.10.31 - Kaspersky 7.0.0.125 2008.10.31 Worm.Win32.AutoRun.onp McAfee 5419 2008.10.31 - Microsoft 1.4005 2008.10.31 Trojan:Win32/Alureon!inf NOD32 3573 2008.10.31 probably a variant of Win32/Autorun Norman 5.80.02 2008.10.31 - Panda 9.0.0.4 2008.10.31 W32/Autorun.AJZ.worm PCTools 4.4.2.0 2008.10.31 - Prevx1 V2 2008.10.31 - Rising 21.01.42.00 2008.10.31 - SecureWeb-Gateway 6.7.6 2008.10.31 - Sophos 4.35.0 2008.10.31 W32/Autorun-KO Sunbelt 3.1.1767.2 2008.10.31 - Symantec 10 2008.10.31 - TheHacker 6.3.1.1.135 2008.10.31 - TrendMicro 8.700.0.1004 2008.10.31 Mal_Otorun2 VBA32 3.12.8.9 2008.10.30 - ViRobot 2008.10.31.1446 2008.10.31 INF.Autorun.103.G VirusBuster 4.5.11.0 2008.10.31 - weitere Informationen File size: 103 bytes MD5...: 8a84fe898156fc95368f8b6d64ce7823 SHA1..: eb25d1a23aa018dec9697f0c9e4d239652341dc6 SHA256: 0aadef66a9e6367068a74bc3906cf8a9e342c3b583fc7fecc6b7ef369ab7439a SHA512: 3883a20f86c5392453d6c0281b15f90448dca68bb888bd2d9efcd6f72950ca78 502fd13ed8f1d4eaa3730d597f40d0cfa06317c53df1ffca661aadafbe3e9b80 PEiD..: - TrID..: File type identification Generic INI configuration (100.0%) PEInfo: - [CODE\] Wenn ich diese Datei jetzt lösche und überall nach nihr suche und sie lösche, könnte dann das Hängen des PCs behoben sein, ohne ihn zu formatieren?? mfg |
Das ist nur die Datei, die dazu führt, dass der Wurm sich über Datenträger weiter überträgt. Wenn sie fehlt, wird sie erneut erstellt.. Das behebt das Problem nicht wirklich. mfg |
Also neuaufsetzen??? Dann pack ich einfach die mitgelieferte CD rein, oder?? Dann ist doch der Anfangsstatus wieder drauf?! Oder kann ich dieses blöde Teil auch noch so finden?? mfg |
Lies dir die Boardanleitung zum Neuaufsetzen durch, da ist alles beschrieben, wie du vorgehen musst. Ggf. kannst du schwierige Schritte auch ausdrucken. mfg |
Bevor ich doch die Daten sicher, muss ich sie jawohl auf Viren untersuchen. Kannst du mir vielleicht ein gutes kostenloses Antivirenprogramm empfählen?? mfg |
mp3's, Bilder und Textdokumente brauchst du nicht auf Malware überprüfen, da du die Anzahl der Schädlinge, die solche Daten befallen, an einer Hand aufzählen kannst. Als kostenloses AVP würde ich Avira empfehlen. mfg |
Wie bekomm ich eigentlich die von Antivir in Quarantäne verschobenen Dateien richtig vernichtet?? Kann Windows im abgesicherten Modus keine DVDs erkennen?? Er sagt mir nämlich: Der Datenträger im Laufwerk E:\ kann nicht gelesen werden Stellen sie sicher, das der Datenträger ein Format verwendet...etc. mfg |
Zitat:
Er ist zwar noch nicht durchgelaufen, doch er hat bis jetzt schon 2 infizierte Objekte gefunden. Ich wollte nur schon ma Bescheid sagen, dass dann einer mal nachschauen könnte, wenn ich das Log-File poste. Danke. mfg |
Du solltest doch Neuaufsetzen und nicht auf Malware scannen. ;) Und im Safe Mode werden die Treiber nicht geladen, deswegen funktioniert das Laufwerk nicht. |
Ich wollte eh morgen neuaufsetzen, aba jetzt brauch ich noch das Internet. Und das Scannen wollt ich einfach mal machen. Dann muss ich wohl mit der Externenfestplatte Daten sichern. mfg |
Hast du denn keinen Zweitrechner zur Verfügung? |
Nein im Moment leider nicht, der ist besetzt. |
So hier jetzt das Log-File Zitat:
|
Du solltest eindeutig Neuaufsetzen und das schnellstens... |
Ist es wirklich so schlimm?? Aber ich darf schon noch meine Festplatte im abgesicherten Modus anschließen und Dateien retten?! Gut dann pack ich morgen die Wiederherstellungs-CD rein!! |
Es gibt zwar weitaus schlimmere Kollegen, aber mit der Infektion, die du hast, ist auch nicht zu spaßen. Außer, du wirst gern in die Ukraine umgeleitet... Daten sichern kannst du natürlich, nur solltest du nicht so oft im Netz aktiv sein. |
Danke vielmals für deine Tipps. mfg Kill_Bill |
Kein Problem ;) |
Hallo, ich hab neuaufgesetzt und jetzt läuft alles wieder wie neu. Vielen Dank nochmal. Kill_Bill |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board