Scanning Report
Thursday, October 05, 2006 11:55:46 - 15:12:57
Computer name: BADDI
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\
--------------------------------------------------------------------------------
Result: 9 malware found
IM-Worm.Win32.Licat.a (virus)
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP276\A0026508.EXE (Renamed & Submitted)
Possible Browser Hijack attempt (spyware)
System (Disinfected)
Softomate Toolbar (spyware)
System (Disinfected)
Stealth_file (hidden item)
C:\WINDOWS\SYSTEM32\CSEVN.EXE
C:\WINDOWS\SYSTEM32\DMQUX.EXE
Tracking Cookie (spyware)
System (Disinfected)
Trojan-Downloader.Win32.Banload.bia (virus)
C:\SYSTEM VOLUME INFORMATION\_RESTORE{20EA187A-C68E-49AC-A1E6-FEF621E0E4FC}\RP276\A0026598.EXE (Renamed)
C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\SPRDU.EXE (Renamed)
WhenU.WeatherCast (spyware)
System (Disinfected)
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 42504
System: 5211
Not scanned: 11
Actions:
Disinfected: 4
Renamed: 3
Deleted: 0
None: 2
Submitted: 1
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\TEMP\SQLITE_VNWOFGO5NTWTK7E
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MUVEE TECHNOLOGIES\030625\0237\0192\VALUES
D:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure AVP: 6.0.171, 2006-10-05
F-Secure Libra: 2.4.1, 2006-10-04
F-Secure Orion: 1.2.37, 2006-10-03
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Pegasus: 1.19.0, 2006-08-29
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics
--------------------------------------------------------------------------------
Copyright © 1998-2006 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.
Das ist schon mal OK!
Jetzt deaktivieren die Systemwiederherstellung.
Da anscheinend ein Rootkit auf deinen PC ist,
scanne im Anschluss erneut den kompletten PC mit dem Online-Scanner von F-Secure !
Poste bitte wieder das ausführliche Scanprotokoll hier.
Den PC zum Schluß ein mal booten und die Systemwiederherstellung wieder aktivieren.
Und jetzt ENDLICH nochmal im abges. Modus und bei abgeschalteter Systemwiederherstellung !!! ???
Dieses hilft beim Online-Scanner in der Regel nicht weiter.
Und mit seinen installierten Virenscanner wird er damit auch nicht weit kommen,
denn dieser hatte schon vorher versagt, aber schaden wird es auch nicht.
Das Produkt was hier eingesetzt wird, ist nicht empfehlenswert. Hier bietet der Markt viel bessere Lösungen.
ABER : ohne anständigen Virenscanner und mit S-W = AN wird er/sie die Dinger NIE los !!!
Wie wäre es , die Platte mit einem IDE-USB-Adapter an einem anderen PC zu scannen ???
Der dortige , ggf ordentliche Virenschutz sollte ja dann den 2. PC schützen , ODER ???
Mein Nachbar : IT-Spezi und PC-Höker , hat sich einen alten PC als reinen Virenscanner eingerichtet !!
Und falls was passiert , kommt das Image wieder drauf !!
Scanning Report
Thursday, October 05, 2006 17:15:02 - 17:51:46
Computer name: BADDI
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\
--------------------------------------------------------------------------------
Result: 9 malware found
Stealth_file (hidden item)
C:\WINDOWS\SYSTEM32\CSTYD.EXE
C:\WINDOWS\SYSTEM32\DMAVW.EXE
Tracking Cookie (spyware)
System (Disinfected)
System
System
System
System
System
System
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 37918
System: 5209
Not scanned: 11
Actions:
Disinfected: 1
Renamed: 0
Deleted: 0
None: 8
Submitted: 0
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\TEMP\SQLITE_OPSOGJVFHYSTEBC
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MUVEE TECHNOLOGIES\030625\0237\0192\VALUES
D:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure AVP: 6.0.171, 2006-10-05
F-Secure Libra: 2.4.1, 2006-10-05
F-Secure Orion: 1.2.37, 2006-10-03
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Pegasus: 1.19.0, 2006-08-29
F-Secure Draco: 1.0.35, 2006-10-03
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics
--------------------------------------------------------------------------------
Copyright © 1998-2006 Product support |Send virus sample to F-Secure
Ähmm,
irgendwas haben wir übersehen, denn
zwei neue Stealth_file wurden erstellt !
C:\WINDOWS\SYSTEM32\CSTYD.EXE
C:\WINDOWS\SYSTEM32\DMAVW.EXE
Checke deinen PC mit dem kostenlosen Tool BlackLight von F-Secure:
https://europe.f-secure.com/exclude/blacklight/index.shtml
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC nach dem Download ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. BlackLight starten und eine komplette Überprüfung des Systems vornehmen.
Nach dem Scan sollten die gefunden Dateien durch die Software unbenannt werden,
drücke dazu einfach dem entsprechenden Button.
5. Boote den PC neu im abgesicherten Modus (!) und scanne den PC mit Ewido.
Poste auch diesen Bericht !
PC wieder normal Starten und scanne im Anschluss erneut den kompletten PC mit dem Online-Scanner von F-Secure !
Poste bitte wieder das ausführliche Scanprotokoll hier.
Die Systemwiederherstellung bleibt deaktivieren !
nach dem download und dem start in den abgesicherten modus wollte ich blacklight öffnen. Allerdings wird mir dann gemeldet, dass blacklight nur im normalen Modus benutzt werden kann!?
... deaktivieren zuvor die Systemwiederherstellung und scanne im Anschluss gleich mit dem Online-Scanner von F-Secure, ohne den PC neu starten !
Erst danach boote den PC.
Zur Kontrolle führe dann einen mit dem kostenlosen Sophos Anti-Rootkit durch.
http://www.chip.de/downloads/c1_downloads_21584106.html?tid1=27700&tid2=0
Poste bitte alle drei Protokolle wieder!
also ich habe die 2 Dateien, die Blacklight gefundne hat renamen lassen und das google Problem ist verschwunden! Keine falschen Weiterleitungen mehr. Ich führe nochmal ewido aus und poste den bericht.Oder soll ich auch noch den Anti-Rootkit ausführen?
Das hört sich doch jetzt Gut an!
Die Malware ist noch auf dem PC, ist aber nicht mehr aktiv.
Scanne mit Ewido und dem Online-Scanner von F-Secure den PC zum letzten mal.
Dabei werden die beiden unbenannten Daten als Malware gemeldet und beseitigt.
Poste die beiden Protokolle, damit ich sie noch mal prüfen kann bzw. damit wissen mit welcher Malware wie es zu tun hatten (auch wenn da eine Vorahnung habe).
Scanning Report
Friday, October 06, 2006 15:20:26 - 15:57:59
Computer name: BADDI
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\ D:\ E:\
Result: 19 malware found
Tracking Cookie (spyware)
* System (Disinfected)
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
* System
Statistics
Scanned:
* Files: 37959
* System: 5262
* Not scanned: 9
Actions:
* Disinfected: 1
* Renamed: 0
* Deleted: 0
* None: 18
* Submitted: 0
Files not scanned:
* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\TEMP\SQLITE_JEIMD8ZQUX4XGSH
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MUVEE TECHNOLOGIES\030625\0237\0192\VALUES
Options
Scanning engines:
* F-Secure AVP: 6.0.171, 2006-10-06
* F-Secure Libra: 2.4.1, 2006-10-05
* F-Secure Orion: 1.2.37, 2006-10-03
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Pegasus: 1.19.0, 2006-08-29
* F-Secure Draco: 1.0.35, 2006-10-03
Scanning options:
* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics
Copyright © 1998-2006 Product support |Send virus sample to F-Secure
« Eigenartige Werbung | Forum » | ||