VBS:Malware-gen lässt sich nicht löschen - help
21 Beiträge • Seite 1 von 2 • 1, 2
VBS:Malware-gen lässt sich nicht löschen - help
von simgundfreud am 18.01.2008, 20:35
Hallo Avast hat Alarm geschlagen, kann aber nicht in container verschieben oder löschen. Help, SOS.
avast meldung:
datei-name: C:\DOKUME~1\Chris\LOKALE~1\Temp\1.reg
malware-name: VBS:Malware-gen
dann, wenn ich auf container klicke: datei ist nicht gepackt...kann datei nicht bearbeiten.
avast meldung:
datei-name: C:\DOKUME~1\Chris\LOKALE~1\Temp\1.reg
malware-name: VBS:Malware-gen
dann, wenn ich auf container klicke: datei ist nicht gepackt...kann datei nicht bearbeiten.
Logfile of HijackThis v1.99.1
Scan saved at 19:24:47, on 18.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Dell\QuickSet\Quickset.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\fvgxrg.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Digital Line Detect\DLG.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\winupdate.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Chris\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell ... bd=6061102
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.studentenwerk.mhn.de/mensa/i ... ml%23heute
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/hws/sb/dell-row/de ... channel=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell ... bd=6061102
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.lrz-muenchen.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DRam prosessor] winupdate.exe
O4 - HKLM\..\RunServices: [DRam prosessor] winupdate.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by133fd.bay133.hotmail.msn.com/r ... nPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3799767203
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
- simgundfreud
- Beiträge: 9
- Registriert: 18.01.2008, 20:27
hier der windows scan
von simgundfreud am 20.01.2008, 12:07
Die 30 neuesten Dateien im Ordner Windows:
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****
20.01.2008 0.log 11 01:0
HDA 20.01.2008 ModemLog_Conexant 11 00:4.182
20.01.2008 wiadebug.log 11 00:159
20.01.2008 wiaservc.log 11 00:50
20.01.2008 bootstat.dat 11 00:2.048
19.01.2008 SchedLgU.Txt 00 49:32.626
19.01.2008 WindowsUpdate.log 00 49:1.292.237
18.01.2008 setupapi.log 17 12:446.114
17.01.2008 QTFont.qfn 09 22:54.156
15.01.2008 system.ini 09 01:227
15.01.2008 win.ini 09 01:815
14.01.2008 NeroDigital.ini 22 18:116
09.01.2008 ntdtcsetup.log 17 44:148.326
09.01.2008 comsetup.log 17 44:244.622
09.01.2008 iis6.log 17 44:110.519
09.01.2008 ocmsn.log 17 44:39.249
09.01.2008 imsins.log 17 44:1.355
09.01.2008 tsoc.log 17 44:275.117
09.01.2008 KB941644.log 17 44:12.222
09.01.2008 ocgen.log 17 44:355.279
09.01.2008 msgsocm.log 17 44:35.688
09.01.2008 FaxSetup.log 17 44:715.544
09.01.2008 imsins.BAK 17 43:1.355
09.01.2008 KB943485.log 17 43:12.370
04.01.2008 QTFont.for 13 42:1.409
13.12.2007 KB942763.log 01 46:29.729
13.12.2007 KB941569.log 01 45:17.859
Die 50 neuesten Dateien im Ordner Windows\system32:
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****
20.01.2008 perfh009.dat 11 05:402.740
20.01.2008 perfc009.dat 11 05:63.350
20.01.2008 perfh007.dat 11 05:417.556
20.01.2008 perfc007.dat 11 05:76.264
20.01.2008 PerfStringBackup.INI 11 05:970.772
20.01.2008 wpa.dbl 11 00:2.206
02.01.2008 MRT.exe 19 21:17.642.616
20.12.2007 FNTCACHE.DAT 09 48:224.816
19.12.2007 winupsvc.exe 09 27:11.878
19.12.2007 winsvcup.exe 09 27:11.878
19.12.2007 mswinup.exe 09 27:11.878
13.12.2007 TZLog.log 01 46:387.268
11.12.2007 QuickTimeVR.qtx 10 57:65.536
11.12.2007 QuickTime.qts 10 57:49.152
11.12.2007 CONFIG.NT 09 07:3.002
04.12.2007 aswBoot.exe 14 04:837.496
04.12.2007 AVASTSS.scr 13 54:95.608
29.11.2007 libdivx.dll 23 30:1.044.480
29.11.2007 ssldivx.dll 23 30:200.704
13.11.2007 tzchange.exe 12 31:60.416
07.11.2007 lsasrv.dll 10 27:729.600
31.10.2007 mshtml.dll 00 19:3.590.656
29.10.2007 quartz.dll 23 42:1.293.312
29.10.2007 xpsp3res.dll 16 07:373.760
25.10.2007 shell32.dll 17 42:8.501.248
25.10.2007 wmasf.dll 09 28:222.720
11.10.2007 urlmon.dll 00 46:1.159.680
11.10.2007 webcheck.dll 00 46:232.960
11.10.2007 wininet.dll 00 46:824.832
11.10.2007 occache.dll 00 46:102.400
11.10.2007 url.dll 00 46:105.984
11.10.2007 mstime.dll 00 46:671.232
11.10.2007 mshtmled.dll 00 46:478.208
11.10.2007 msrating.dll 00 46:193.024
11.10.2007 jsproxy.dll 00 46:27.648
11.10.2007 iernonce.dll 00 46:44.544
11.10.2007 msfeedsbs.dll 00 46:52.224
11.10.2007 ieframe.dll 00 46:6.065.664
11.10.2007 inetcpl.cpl 00 46:1.831.424
11.10.2007 msfeeds.dll 00 46:459.264
11.10.2007 iertutil.dll 00 46:267.776
11.10.2007 ieaksie.dll 00 46:230.400
11.10.2007 dxtrans.dll 00 46:214.528
11.10.2007 advpack.dll 00 46:124.928
11.10.2007 extmgr.dll 00 46:132.608
11.10.2007 iedkcs32.dll 00 46:384.512
11.10.2007 ieapfltr.dll 00 46:383.488
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****
127.0.0.1 localhost
***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****
Microsoft Windows XP [Version 5.1.2600]
http://www.paules-pc-forum.de
***** Malware Team *****
***** Ende des Scans 20.01.2008 um 11:06:43,89 ***
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****
20.01.2008 0.log 11 01:0
HDA 20.01.2008 ModemLog_Conexant 11 00:4.182
20.01.2008 wiadebug.log 11 00:159
20.01.2008 wiaservc.log 11 00:50
20.01.2008 bootstat.dat 11 00:2.048
19.01.2008 SchedLgU.Txt 00 49:32.626
19.01.2008 WindowsUpdate.log 00 49:1.292.237
18.01.2008 setupapi.log 17 12:446.114
17.01.2008 QTFont.qfn 09 22:54.156
15.01.2008 system.ini 09 01:227
15.01.2008 win.ini 09 01:815
14.01.2008 NeroDigital.ini 22 18:116
09.01.2008 ntdtcsetup.log 17 44:148.326
09.01.2008 comsetup.log 17 44:244.622
09.01.2008 iis6.log 17 44:110.519
09.01.2008 ocmsn.log 17 44:39.249
09.01.2008 imsins.log 17 44:1.355
09.01.2008 tsoc.log 17 44:275.117
09.01.2008 KB941644.log 17 44:12.222
09.01.2008 ocgen.log 17 44:355.279
09.01.2008 msgsocm.log 17 44:35.688
09.01.2008 FaxSetup.log 17 44:715.544
09.01.2008 imsins.BAK 17 43:1.355
09.01.2008 KB943485.log 17 43:12.370
04.01.2008 QTFont.for 13 42:1.409
13.12.2007 KB942763.log 01 46:29.729
13.12.2007 KB941569.log 01 45:17.859
Die 50 neuesten Dateien im Ordner Windows\system32:
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****
20.01.2008 perfh009.dat 11 05:402.740
20.01.2008 perfc009.dat 11 05:63.350
20.01.2008 perfh007.dat 11 05:417.556
20.01.2008 perfc007.dat 11 05:76.264
20.01.2008 PerfStringBackup.INI 11 05:970.772
20.01.2008 wpa.dbl 11 00:2.206
02.01.2008 MRT.exe 19 21:17.642.616
20.12.2007 FNTCACHE.DAT 09 48:224.816
19.12.2007 winupsvc.exe 09 27:11.878
19.12.2007 winsvcup.exe 09 27:11.878
19.12.2007 mswinup.exe 09 27:11.878
13.12.2007 TZLog.log 01 46:387.268
11.12.2007 QuickTimeVR.qtx 10 57:65.536
11.12.2007 QuickTime.qts 10 57:49.152
11.12.2007 CONFIG.NT 09 07:3.002
04.12.2007 aswBoot.exe 14 04:837.496
04.12.2007 AVASTSS.scr 13 54:95.608
29.11.2007 libdivx.dll 23 30:1.044.480
29.11.2007 ssldivx.dll 23 30:200.704
13.11.2007 tzchange.exe 12 31:60.416
07.11.2007 lsasrv.dll 10 27:729.600
31.10.2007 mshtml.dll 00 19:3.590.656
29.10.2007 quartz.dll 23 42:1.293.312
29.10.2007 xpsp3res.dll 16 07:373.760
25.10.2007 shell32.dll 17 42:8.501.248
25.10.2007 wmasf.dll 09 28:222.720
11.10.2007 urlmon.dll 00 46:1.159.680
11.10.2007 webcheck.dll 00 46:232.960
11.10.2007 wininet.dll 00 46:824.832
11.10.2007 occache.dll 00 46:102.400
11.10.2007 url.dll 00 46:105.984
11.10.2007 mstime.dll 00 46:671.232
11.10.2007 mshtmled.dll 00 46:478.208
11.10.2007 msrating.dll 00 46:193.024
11.10.2007 jsproxy.dll 00 46:27.648
11.10.2007 iernonce.dll 00 46:44.544
11.10.2007 msfeedsbs.dll 00 46:52.224
11.10.2007 ieframe.dll 00 46:6.065.664
11.10.2007 inetcpl.cpl 00 46:1.831.424
11.10.2007 msfeeds.dll 00 46:459.264
11.10.2007 iertutil.dll 00 46:267.776
11.10.2007 ieaksie.dll 00 46:230.400
11.10.2007 dxtrans.dll 00 46:214.528
11.10.2007 advpack.dll 00 46:124.928
11.10.2007 extmgr.dll 00 46:132.608
11.10.2007 iedkcs32.dll 00 46:384.512
11.10.2007 ieapfltr.dll 00 46:383.488
***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****
127.0.0.1 localhost
***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****
Microsoft Windows XP [Version 5.1.2600]
http://www.paules-pc-forum.de
***** Malware Team *****
***** Ende des Scans 20.01.2008 um 11:06:43,89 ***
- simgundfreud
- Beiträge: 9
- Registriert: 18.01.2008, 20:27
von Humdinger am 20.01.2008, 13:11
Hallo
Alle Dateien anzeigen
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
C:\WINDOWS\system32\winupsvc.exe
C:\WINDOWS\system32\winsvcup.exe
C:\WINDOWS\system32\mswinup.exe
C:\WINDOWS\system32\fvgxrg.exe
C:\WINDOWS\system32\winupdate.exe
Zur Analyse bitte diese:
per Mail (möglichst als ZIP Datei) mit dem Betreff
malware amiweb simgundfreud
schicken an:
MalwareTEAM@t-online.de
nun:
Lade dir Navilog1.zip,auf dem Desktop speichern & entpacken,danach wird einen Ordner Navilog1 auf dem Desktop erstellt.Nun muss du dieser Ordner öffnen,dann Doppelklick auf Navilog1.bat,dann Sprache Auswahl F|f-->Französisch & E|e-->Englisch,den Anweisungen auf dem Bildschirm folgen,immer eine beliebige Taste druecken bis ein Auswahl Fenster erscheint,dann die Taste 1,den Anweisungen auf dem Bildschirm folgen & am Ende den Inhalt von fixnavi.txt hier posten.
Hinweis
(Evtl. geben einige Antivirenprogramme eine Warnmeldung – diese übergehen/ignorieren, Scan zulassen)
Alle Dateien anzeigen
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
C:\WINDOWS\system32\winupsvc.exe
C:\WINDOWS\system32\winsvcup.exe
C:\WINDOWS\system32\mswinup.exe
C:\WINDOWS\system32\fvgxrg.exe
C:\WINDOWS\system32\winupdate.exe
Zur Analyse bitte diese:
per Mail (möglichst als ZIP Datei) mit dem Betreff
malware amiweb simgundfreud
schicken an:
MalwareTEAM@t-online.de
nun:
Lade dir Navilog1.zip,auf dem Desktop speichern & entpacken,danach wird einen Ordner Navilog1 auf dem Desktop erstellt.Nun muss du dieser Ordner öffnen,dann Doppelklick auf Navilog1.bat,dann Sprache Auswahl F|f-->Französisch & E|e-->Englisch,den Anweisungen auf dem Bildschirm folgen,immer eine beliebige Taste druecken bis ein Auswahl Fenster erscheint,dann die Taste 1,den Anweisungen auf dem Bildschirm folgen & am Ende den Inhalt von fixnavi.txt hier posten.
Hinweis
(Evtl. geben einige Antivirenprogramme eine Warnmeldung – diese übergehen/ignorieren, Scan zulassen)
- Humdinger
- Mitarbeiter
- Beiträge: 749
- Registriert: 22.03.2006, 14:22
- Wohnort: Mainz
von Nikita am 20.01.2008, 13:11
zusätzlich : 
«
Combofix anwenden - poste den report
http://www.virus-protect.org/artikel/to ... bofix.html
----------------
««
http://www.virus-protect.org/artikel/to ... earch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)
winupdate
in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
--------
sdfix im abgesicherten Modus anwenden - poste den Report hier
http://www.virus-protect.org/artikel/tools/sdfix.html
«
«
Combofix anwenden - poste den report
http://www.virus-protect.org/artikel/to ... bofix.html
----------------
««
http://www.virus-protect.org/artikel/to ... earch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)
winupdate
in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
--------
sdfix im abgesicherten Modus anwenden - poste den Report hier
http://www.virus-protect.org/artikel/tools/sdfix.html
«
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
avast scan ergebnisse
von simgundfreud am 21.01.2008, 19:41
habe mit avast alles durchscannen lassen:
ergebnis:
bisB2.exe in meinem temp ordner gefunden= virus win32:Obfuscated-BPO
->den konnte ich in den container verschieben (vom 1.reg diesmal keine spur)
dann nochmals alles gescannt:
dann hat er den 1.reg gefunden, doch diesmal konnte ich ihn erfolgreich in den container verschieben
wieder alles gescannt:
0 viren gefunden
@nikito & humding:
soll ich trotzdem eure verfolgungsjagd noch starten oder ist der killer virus gefangen?
ergebnis:
bisB2.exe in meinem temp ordner gefunden= virus win32:Obfuscated-BPO
->den konnte ich in den container verschieben (vom 1.reg diesmal keine spur)
dann nochmals alles gescannt:
dann hat er den 1.reg gefunden, doch diesmal konnte ich ihn erfolgreich in den container verschieben
wieder alles gescannt:
0 viren gefunden
@nikito & humding:
soll ich trotzdem eure verfolgungsjagd noch starten oder ist der killer virus gefangen?
- simgundfreud
- Beiträge: 9
- Registriert: 18.01.2008, 20:27
von Humdinger am 21.01.2008, 19:49
Bitte alles durchführen wie beschrieben.
Avast ist nicht die Lösung aller Probleme.
Avast ist nicht die Lösung aller Probleme.
- Humdinger
- Mitarbeiter
- Beiträge: 749
- Registriert: 22.03.2006, 14:22
- Wohnort: Mainz
auweia
von simgundfreud am 22.01.2008, 15:59
@humdinger
mail abgeschickt (winupdate.exe hab ich nicht gefunden)
dann navilog bericht: während der search gabs zweimal virusalarm, auweiaauweia. hier das log:
thank you.
mail abgeschickt (winupdate.exe hab ich nicht gefunden)
dann navilog bericht: während der search gabs zweimal virusalarm, auweiaauweia. hier das log:
Search Navipromo version 3.4.2 began on 22.01.2008 at 14:46:41,76
!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Updated on 21.01.2008 at 14h00 by IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS
Done in normal mode
*** Searching for installed Software ***
*** Search folders in C:\WINDOWS ***
*** Search folders in C:\Programme ***
*** Search folders in C:\DOKUME~1\ALLUSE~1\ANWEND~1 ***
*** Search folders in "C:\Dokumente und Einstellungen\Chris\anwendungsdaten" ***
*** Search folders in "C:\Dokumente und Einstellungen\Chris\lokale einstellungen\anwendungsdaten" ***
*** Search folders in "C:\Dokumente und Einstellungen\Chris\STARTM~1\PROGRA~1" ***
*** Search folders in C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1 ***
*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net
No file found
*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!
* Scan in C:\WINDOWS\system32 *
* Scan in "C:\Dokumente und Einstellungen\Chris\lokale einstellungen\anwendungsdaten" *
*** Search files ***
*** Search specific Registry keys ***
*** Complementary Search ***
(Search specific files)
1)Search new Instant Access files :
2)Heuristic Search :
* In C:\WINDOWS\system32 :
* In "C:\Dokumente und Einstellungen\Chris\lokale einstellungen\anwendungsdaten" :
3)Certificates Search :
Egroup certificate not found !
4)Search known files :
*** Search completed on 22.01.2008 at 14:54:07,73 ***
thank you.
- simgundfreud
- Beiträge: 9
- Registriert: 18.01.2008, 20:27
@nikita
von simgundfreud am 22.01.2008, 16:05
hab noch nix mit combofix gemacht, ist glaub so wie am gehirn operieren oder? gibts was zu beachten, damit es nicht zuviele überraschungen gibt und evtl. einiges umgestellt ist - oder kein problem?
- simgundfreud
- Beiträge: 9
- Registriert: 18.01.2008, 20:27
von Humdinger am 22.01.2008, 16:05
OK
So gehts weiter:
So gehts weiter:
Nikita hat geschrieben: zusätzlich :
«
Combofix anwenden - poste den report
http://www.virus-protect.org/artikel/to ... bofix.html
----------------
««
http://www.virus-protect.org/artikel/to ... earch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)
winupdate
in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
--------
sdfix im abgesicherten Modus anwenden - poste den Report hier
http://www.virus-protect.org/artikel/tools/sdfix.html
«
- Humdinger
- Mitarbeiter
- Beiträge: 749
- Registriert: 22.03.2006, 14:22
- Wohnort: Mainz
von Humdinger am 22.01.2008, 21:08
Hallo
Bei den übersandten Dateien kam folgendes heraus:
Clean:
C:\WINDOWS\system32\winupsvc.exe
C:\WINDOWS\system32\winsvcup.exe
C:\WINDOWS\system32\mswinup.exe
Backdoor
C:\WINDOWS\system32\fvgxrg.exe
Ermöglicht Dritten den Zugriff auf den Computer
Installiert sich in der Registrierung
Ein wirklich sichere Bereinigung ist nicht möglich!
Wenn ein System so kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten.
Info:3.1. Es kann nicht gehen!
http://www.mathematik.uni-marburg.de/~w ... moval.html
Du mußt formatieren und das System neu aufsetzen.
Windows XP neu installieren:
http://www.chip-link.de.vu/SETUP.html
Installiere einen Virenschutz
http://www.paules-pc-forum.de/phpBB2/topic,109718.html
Windows weiter absichern:
http://www.paules-pc-infothek.de/ppf2/v ... .php?t=872
Ändere dann alle wichtigen Passwörter!
Bei den übersandten Dateien kam folgendes heraus:
Clean:
C:\WINDOWS\system32\winupsvc.exe
C:\WINDOWS\system32\winsvcup.exe
C:\WINDOWS\system32\mswinup.exe
Backdoor
C:\WINDOWS\system32\fvgxrg.exe
Ermöglicht Dritten den Zugriff auf den Computer
Installiert sich in der Registrierung
Ein wirklich sichere Bereinigung ist nicht möglich!
Wenn ein System so kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten.
Info:3.1. Es kann nicht gehen!
http://www.mathematik.uni-marburg.de/~w ... moval.html
Du mußt formatieren und das System neu aufsetzen.
Windows XP neu installieren:
http://www.chip-link.de.vu/SETUP.html
Installiere einen Virenschutz
http://www.paules-pc-forum.de/phpBB2/topic,109718.html
Windows weiter absichern:
http://www.paules-pc-infothek.de/ppf2/v ... .php?t=872
Ändere dann alle wichtigen Passwörter!
- Humdinger
- Mitarbeiter
- Beiträge: 749
- Registriert: 22.03.2006, 14:22
- Wohnort: Mainz
ups
von simgundfreud am 23.01.2008, 12:08
backdoor, formatieren, neu installieren...ziemlich unerfreulich...
wie wärs damit:
dell notebook, bietet folgende möglichkeiten an:
1. systemwiederherstellung (versetzt computer in einen vorherigen betriebszustand ohne dabei datendateien zu beenträchtigen)
2. dell pc restore oder norton ghost
oder doch alles formatieren?
wie wärs damit:
dell notebook, bietet folgende möglichkeiten an:
1. systemwiederherstellung (versetzt computer in einen vorherigen betriebszustand ohne dabei datendateien zu beenträchtigen)
2. dell pc restore oder norton ghost
oder doch alles formatieren?
- simgundfreud
- Beiträge: 9
- Registriert: 18.01.2008, 20:27
von Humdinger am 23.01.2008, 12:24
Dürfte keine wirkliche Sicherheit bringen. Du musst in den sauren Apfel beißen und formatieren. Du willst doch nicht wirklich riskieren, dass plötzlich jemand deine Bankdaten etc.. hat und sich bedient?
Kompromitierung Windows
http://www.virus-protect.org/kompsystem.html
Kompromitierung Windows
http://www.virus-protect.org/kompsystem.html
- Humdinger
- Mitarbeiter
- Beiträge: 749
- Registriert: 22.03.2006, 14:22
- Wohnort: Mainz
planung
von simgundfreud am 23.01.2008, 13:39
fotos, dokumente, musik, filme - runterbrennen und dann wieder draufknallen? diese daten kann ich wiederverwenden oder?
- simgundfreud
- Beiträge: 9
- Registriert: 18.01.2008, 20:27
von Humdinger am 23.01.2008, 13:46
Na klar, solange die nicht aus dubiosen Quellen stammen. Sollten diese vielleicht aus Tauschbörsen (ohne das jetzt unterstellen zu wollen) stammen, so können versteckte Scripte drin sein die kein Virenscanner findet . Ansonsten einfach vor dem wieder einspielen alle mal mit einem guten Virenscanner wie z.B. Kaspersky scannen.
Eine externe Festplatte ist übrigens sehr hilfreich beim sichern von Daten.
Eine externe Festplatte ist übrigens sehr hilfreich beim sichern von Daten.
- Humdinger
- Mitarbeiter
- Beiträge: 749
- Registriert: 22.03.2006, 14:22
- Wohnort: Mainz
21 Beiträge • Seite 1 von 2 • 1, 2
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste