das hat Avenger jetz bei mir angezeigt nach dem Neustart.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\Dokumente und Einstellungen\XP\Anwendungsdaten\crsnanc.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
das Problem is das ich Kaspersky nicht benutze :-(Du scheinst den Sinn und Zweck dieser Boot-CD nicht verstanden zu haben, oder?
Es ist völlig egal, welches AV-Programm du hast.
Lies dir einfach den gesamten Artikel aufmerksam durch!!
(Auf die Gründe, warum man ab und zu mal einen PC von einem externen Boot-Medium prüfen sollte, gehe ich an dieser Stelle nicht näher ein, näheres dazu finden Sie im Beitrag Antivirus-Boot-CDs.)Hier:
http://scareware.de/2010/04/boot-cd-virenscanner-kaspersky-rescue-disk-10/
hi,
ich hab alles soweit gemacht, bloß die sache mit dem "System Volume Ordner Scannen" nicht.
(da müsste aber glaube diese dll.exe sein "RUNDll32.EXE")
der link auf der guide seite ist leider unbrauchbar.
kann mir bitte einer erklären wie ich diese säuberung richtig durchführe?
MFG
Warum machst du es nicht mit der CD? Kein Rohling für 10 Cent vorhanden? Brenner defekt? Du weißt nicht, wie man ein Image brennt?
wie ich ne cd brenne weiß ich selber,mir gehts nur um die sache mit dem verfluchten scannen des systemvalue ordners um den virus zu killn.
nur das interessiert mich, auf das mit kaspersky hab ich gerade keine lust.will ohne viel aufwand das über die bühne bringen.
mfg
auf das mit kaspersky hab ich gerade keine lust.will ohne viel aufwand das über die bühne bringen.
DANN LASS ES EINFACH, wenn du zu faul / zu träge dazu bist!
wie ich ne cd brenne weiß ich selberAch ja? Und von der kannst du deinen verseuchten Rechner starten? Wie auch immer: mach, was du willst, ist nicht mein Rechner
Benni17 (366) 2x Beste Antwort 2x "Danke"
| Re: ### Achtung - ICQ Virus unterwegs - schau mal das foto an :D### |
Gibri dein AvengerLog sieht gut aus, Virusproblem müsste nun behoben sein
Los Ethos, Du brauchst den System Volume Ordner nicht unbedingt scannen lassen.
Führe mit Hijackthis einen Scan durch und poste das Logfile hier.
Danach QuickScan mit Malewarebytes.
Ebenfalls Logfile hier rein!
Habe gemerkt, dass der eine Server zurzeit immer wieder down ist.
Hier Alternativlink: http://icqvirus.pytalhost.com/ICQ%20Virus%20Removable%20Guide.pdf
greeZ
hi benny17,
freu mich, dass du ausm urllaub zurück bist.hoffe du hast dich erholt.
hab schon probiert den virus zuenfernen,aber die RUNDLL.exe ist nachm neustart immer wieder drauf.außerdem kriege ich diesen GEARSec.exe auch nicht weg.
aber hier ist erstmal mein hijacklog:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:07, on 30.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/tab2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://go.web.de/suchbox/webdesuche?su=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WEB.DE Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programme\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\System32\GEARSec.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - PC Tools - C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
--
End of file - 5877 bytes
so und das ist der log vom QuickScan (hab nach hijacklog nichts weiter gelöscht)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4147
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
30.05.2010 19:49:21
mbam-log-2010-05-30 (19-49-21).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 124869
Laufzeit: 4 Minute(n), 26 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
------
in dem startordner (start->ausführen->regedit->HKEY_LokalMAchine->...->Run) liegt jedesmal eine sehr "mysteriöse datei", nämlich RUNDLL.EXE C://Windows/system32/NvCpl.dll,NvStartup
ist das der virus bzw.trojaner???
würde mich sehr über eure hilfe freuen.
MFG
Benni17 (366) 2x Beste Antwort 2x "Danke"
| Re: ### Achtung - ICQ Virus unterwegs - schau mal das foto an :D### |
tagchen
n dem startordner (start->ausführen->regedit->HKEY_LokalMAchine->...->Run) liegt jedesmal eine sehr "mysteriöse datei", nämlich RUNDLL.EXE C://Windows/system32/NvCpl.dll,NvStartup
Hast du eine Nvidia Grafikkarte? Wenn ja, dann ist dieser Eintrag nicht schädlich.
Hijackthis zeigt zu deinem GEARsec.exe folgendes:
Dieser Dienst (GEARSec.exe) wurde als gut identifiziert.
Ich sehe keine Anzeichen, die auf den ICQ Virus hindeuten. Der System Volume Ordner ist selten befallen, kommt aber auch vor.
AntiVir würde dir dann z.B. bei jedem Start des Pc's eine Virenmeldung ausgeben wie:
In der Datei 'C:\System Volume Information\_restore{57A6823A-1951-404C-9B13-3739}\RP276\A0339564.scr'
wurde ein Virus oder unerwünschtes Programm 'blablablaaaa'[trojan] gefunden.
Dein System ist clean, oder noch i-welche auftretende Probleme?
Kannst gegebenfalls noch einen Voll-Scan mit Malewarebytes durchführen.
greeZ
Benni17 (366) 2x Beste Antwort 2x "Danke"
| Re: ### Achtung - ICQ Virus unterwegs - schau mal das foto an :D### |
####Achtung####
Neuer Typ des ICQ Viruses unterwegs mit dieser Nachricht:
ich hoffe meine eltern finden dieses foto eines tages nicht http://www.img21.imag//eshack.popcorn.ma/image_gallery.php?image=IM//G0737830249202010.JPG(Originallink bearbeitet siehe //)
Hab ein Leitfaden zum Löschen des Viruses / der Viren gemacht:
http://ttsclan.tt.funpic.de/Viren/ICQ%20Virus%20Removable%20Guide.pdf
Alternativ Link:
http://icqvirus.pytalhost.com/ICQ%20Virus%20Removable%20Guide.pdf
greeZ
« Windows XP: Webcam-Übertragung mit nur einem Kontakt nicht möglich | ICQ verlauf, wo im windows 7 gespeichert? » | ||