AntiVir Meldungen

134D130Y · 22.06.2008, 08:42

Guten Morgen,
ich hab ein Problem mit AntiVir.

2 Tagelang bekomme ich Meldungen von AntiVir mit dem Namen
,,HEUR/HTML.Malware''. Jetzt hab ich selber mal darüber
geforscht und weiß jetzt schon einiges darüber.
Zum einen, dass es sich nicht um einen Virus handelt,
sondern ein Fehler von AntiVir.
Mit einem Update sollte das Problem behoben sein,
doch natürlich geht es bei mir nicht.

So, nach vielem Lesen durch Foren, hab ich was ausprobiert.
Die .vbs Datei (Computername.vbs) wurde gelöscht, das
führte dann wiederrum zum neuen Problem.
Es handelte sich um eine Script-Datei und nun ist es nicht mehr möglich,
im Arbeitsplatz eine Festplatte per Doppelklick zu öffnen,
sondern nur durch Rechtsklick>Öffnen.

Danach ließ ich mein TuneUp-Utillities eine intensive Prüfung durchführen
und eine Zeit lang kamen keine Meldungen, doch dann mussten sie
sich ja wieder melden.

Hab mehrmals den Cache von Opera gelöscht, doch bringt alles nichts.

Habt ihr ne Idee, was ich tun soll?

1. Wie werd ich die Meldungen los?
2. Wie bekomme ich die Script-Datei wieder bzw. woher?

Freue mich auf jede nützliche Antwort...

Humdinger · 23.06.2008, 13:10

poste einen HijackThis log

134D130Y · 23.06.2008, 16:17

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:56, on 23.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\Dit.exe
D:\AntiVir Classic\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\Acrotray.exe
D:\WinAmp\winampa.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
D:\DAEMON Tools\DAEMON Tools Lite\daemon.exe
D:\Spybot- Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AntiVir Classic\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\DitExp.exe
D:\AntiVir Classic\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
D:\Nero\Nero 8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
D:\Adobe CS3 Master Collection\Adobe After Effects CS3\Support Files\AfterFX.exe
D:\Opera\opera.exe
D:\Adobe CS3 Master Collection\Adobe Photoshop CS3\Photoshop.exe
D:\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by XXX-PC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Adobe CS3 Master Collection\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Adobe CS3 Master Collection\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir Classic\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "D:\Nero\Nero 8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VER SIO~2.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\WinAmp\winampa.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE /P26 "EPSON Stylus CX3600 Series" /O5 "LPT1:" /M "Stylus CX3600"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 BE.EXE /P36 "EPSON Stylus CX3600 Series (Kopie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [XXX-PC] C:\WINDOWS\SYSTEM32\XXX-PC.vbs
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\DAEMON Tools\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot- Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe Reader 8\Reader\reader_sl.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Adobe CS3 Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Ad-Aware\aawservice.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\AntiVir Classic\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AntiVir Classic\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Nero\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 11132 bytes

_________________________

Hoffe, richtig so...

Humdinger · 23.06.2008, 16:21

Diese beiden:

C:\WINDOWS\SYSTEM32\XXX-PC.vbs
C:\XXX-PC.vbs

hier abkopieren und bei virustotal einkopieren (mit Strg+V)
http://www.virustotal.com/de/
evtl. drücke: Datei neu analysieren, abwarten, Reporte vollständig posten

+

log v. windowsscan posten
http://virus-protect.org/artikel/tools/windowsscan.html

134D130Y · 23.06.2008, 16:31

Also, ich hab die beiden

C:\WINDOWS\SYSTEM32\XXX-PC.vbs
C:\XXX-PC.vbs

da eingefügt und auf ,,Senden der Datei'' geklickt.
Danach folgt dieser Text:

,,0 bytes size received / Se ha recibido un archivo vacio''

Die angegebenen Datein XXX-PC.vbs scheinen gelöscht zu sein.

___________________________

Log v. Windowsscan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

23.06.2008 NeroDigital.ini 16 52:69
23.06.2008 wiadebug.log 16 22:254
23.06.2008 WindowsUpdate.log 15 34:1.554.293
23.06.2008 0.log 15 33:0
23.06.2008 setupapi.log 15 33:7.807
23.06.2008 wiaservc.log 15 33:50
23.06.2008 bootstat.dat 15 32:2.048
22.06.2008 SchedLgU.Txt 23 02:32.612
21.06.2008 iis6.log 00 15:988
21.06.2008 imsins.log 00 15:1.374
21.06.2008 ocmsn.log 00 15:342
21.06.2008 tsoc.log 00 15:2.359
21.06.2008 comsetup.log 00 15:2.053
21.06.2008 ntdtcsetup.log 00 15:1.247
21.06.2008 KB951376-v2.log 00 15:8.056
21.06.2008 ocgen.log 00 15:2.916
21.06.2008 msgsocm.log 00 15:309
21.06.2008 FaxSetup.log 00 15:6.183
21.06.2008 setuperr.log 00 15:0
21.06.2008 setupact.log 00 15:0
19.05.2008 AKDeInstall.exe 16 32:84.992
19.05.2008 TSetup.INI 16 32:51
17.05.2008 cdplayer.ini 19 09:25
01.05.2008 SFA4489C1.tmp 11 49:48
04.04.2008 win.ini 15 09:613
01.04.2008 DEBUGSM.INI 17 54:29
28.03.2008 BlendSettings.ini 13 08:23

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

23.06.2008 perfc007.dat 15 37:48.156
23.06.2008 perfh009.dat 15 37:311.604
23.06.2008 perfh007.dat 15 37:316.594
23.06.2008 perfc009.dat 15 37:39.992
23.06.2008 PerfStringBackup.INI 15 37:723.744
23.06.2008 nvapps.xml 15 32:81.191
30.05.2008 MRT.exe 01 35:17.486.968
29.05.2008 FNTCACHE.DAT 19 32:1.565.208
27.05.2008 QuickTime.qts 10 50:57.344
27.05.2008 QuickTimeVR.qtx 10 50:90.112
23.05.2008 wpa.dbl 20 32:2.206
17.05.2008 rmoc3260.dll 19 08:176.167
17.05.2008 pndx5032.dll 19 08:5.632
17.05.2008 pndx5016.dll 19 08:6.656
17.05.2008 pncrt.dll 19 08:278.528
17.05.2008 msvcr71.dll 18 59:348.160
17.05.2008 msvcp71.dll 18 59:499.712
16.05.2008 PnkBstrB.exe 16 12:107.832
16.05.2008 PnkBstrA.exe 16 11:66.872
16.05.2008 pbsvc.exe 16 11:2.337.865
07.05.2008 CmdLineExt.dll 17 06:107.888
07.05.2008 quartz.dll 07 14:1.293.312
23.04.2008 mshtml.dll 22 16:3.591.680
23.04.2008 webcheck.dll 06 16:233.472
23.04.2008 wininet.dll 06 16:826.368
23.04.2008 url.dll 06 16:105.984
23.04.2008 urlmon.dll 06 16:1.159.680
23.04.2008 msrating.dll 06 16:193.024
23.04.2008 pngfilt.dll 06 16:44.544
23.04.2008 mshtmled.dll 06 16:478.208
23.04.2008 occache.dll 06 16:102.912
23.04.2008 mstime.dll 06 16:671.232
23.04.2008 iernonce.dll 06 16:44.544
23.04.2008 inetcpl.cpl 06 16:1.831.424
23.04.2008 ieframe.dll 06 16:6.066.176
23.04.2008 msfeedsbs.dll 06 16:52.224
23.04.2008 msfeeds.dll 06 16:459.264
23.04.2008 jsproxy.dll 06 16:27.648
23.04.2008 iertutil.dll 06 16:267.776
23.04.2008 ieapfltr.dll 06 16:383.488
23.04.2008 ieakeng.dll 06 16:153.088
23.04.2008 iedkcs32.dll 06 16:384.512
23.04.2008 icardie.dll 06 16:63.488
23.04.2008 dxtmsft.dll 06 16:347.136
23.04.2008 extmgr.dll 06 16:133.120
23.04.2008 advpack.dll 06 16:124.928
23.04.2008 ieaksie.dll 06 16:230.400

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****

Microsoft Windows XP [Version 5.1.2600]

Humdinger · 23.06.2008, 16:39

Hallo

Mach folgendes in dieser Reihenfolge

öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [XXX-PC] C:\WINDOWS\SYSTEM32\XXX-PC.vbs

CCLEANER ausführen - aber nicht posten
http://www.paules-pc-infothek.de/ppf...pic.php?t=1138

Malwarebytes anwenden
alle Funde löschen lassen + poste den Report
http://www.virus-protect.org/artikel...warebytes.html

PC Neustart

poste das log von Combofix, klicke die Warnmeldung weg
http://virus-protect.org/artikel/tools/combofix.html

134D130Y · 23.06.2008, 17:29

Also, beim Malwarebytes Scan hab ich das Ganze abgebrochen.
Da kamen sehr sehr viele Meldungen von AntiVir Guard...
Hab jetzt die ersten aufgeschrieben:

C:\System Voume Info\...\A0041730.vbs
A0041938.vbs
A0042054.vbs
A0042055.vbs
A0042076.vbs
A0042077.vbs
A0042100.vbs
A0042101.vbs
A0043100.vbs
A0043101.vbs
A0043132.vbs
A0043133.vbs
A0043173.vbs
A0043174.vbs
A0043209.vbs
A0043210.vbs
A0043231.vbs

Es kamen noch viele mehr....
alle gehörten zum Ordner System Volume Info. 8o
Was hat den das zu beudeuten...?

Humdinger · 23.06.2008, 18:03

Folgendes machen:

Die Systemwiederherstellung
zuerst deaktivieren, dann wieder aktivieren

dann weiter mit Malwarebytes etc..

134D130Y · 23.06.2008, 19:03

DANKE Humdinger!
Bist einfach genial, alles geklappt....
Bei der Malwarebytes Prüfung wurde nichts gefunden.
Nach der Ausführung von Combofix funktioniert der Arbeitsplatz wieder
bzw. hab die Script-Dateien wieder.

Nur noch schauen, ob AntiGuard sich wieder meldet.

Aber ich bedank mich bei dir.... einfach SPITZE! ;D

Sie betrachten gerade: AntiVir Meldungen