Guten Tag,
ich war mit meinem Arbeitscomputer vor ein paar Tagen "ungeschützt" im Netz. Das hat anscheinend ausgereicht um ihn mit mehreren bösartigen Gesellen zu infizieren. Ich benutze das jetzt Virenscan&Firewalltool von F-Secure (keine Ahnung ob das was wert ist..) und er zeigt mir folgenden Bericht, mit dem ich allerdings nicht viel anfangen kann.. (übrigens habe ich mit Search&Destroy schon einiges an Spyware gelöscht und auch HijackThis laufen lassen)
Ich hoffe dass es jemanden unter euch gibt, der mir sagen kann ob und wenn ja wie sehr mein Computer infiziert ist. Und wie ich die Schädlinge wieder loswerden kann.. Vielen Dank im Vorraus!
Scanbericht:
Scan-Bericht
Freitag, 25. November 2005 17:20:12 - 17:21:58
Computername: Betrieb __________
Ziel: C:\\ D:\\
--------------------------------------------------------------------------------
Ergebnis: 18 Viren gefunden
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temp\\bb.0xe Infektion: Trojan-Dropper.Win32.Agent.abo
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\kl[2].0xt Infektion: Trojan-Downloader.Win32.Small.bww
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\index[7].0tm Infektion: Exploit.HTML.Mht
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\adv698[1].0tm Infektion: Trojan-Dropper.VBS.Inor.cz
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\index[4].0tm Infektion: Exploit.VBS.Phel.a
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\cmdexe2[1].0xt Infektion: Trojan-Downloader.VBS.Phel.a
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\bb[1].0xe Infektion: Trojan-Dropper.Win32.Agent.abo
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\sploit[1].0nr Infektion: Trojan-Downloader.Win32.Ani.c
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\paytime[1].0xt Infektion: Trojan.Win32.StartPage.afs
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\isda1012_2062_m[3].0xe Infektion: Trojan.Win32.Dialer.hz
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\index[3].0tm Infektion: Exploit.HTML.Mht
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\cmdexe[1].0xt Infektion: Trojan-Downloader.VBS.Phel.a
D:\\WINDOWS\\system32\\PAYTIME.0XE Infektion: Trojan.Win32.StartPage.afs
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106069.0xe Infektion: Trojan-Spy.Win32.Briss.h
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106062.0xe Infektion: Trojan.Win32.KillApp.f
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106061.0xe Infektion: Backdoor.Win32.VB.oq
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106059.0xe Infektion: Trojan.Win32.Septic.a
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP47\\A0107709.0xe Infektion: Trojan.Win32.Spooner.f
--------------------------------------------------------------------------------
Statistiken
Dateien:
Gescannt: 44446
Infiziert: 18
Verdächtig: 0
Desinfiziert: 0
Umbenannt: 0
Gelöscht: 0
Nicht gescannt: 51
Boot-Sektoren:
Gescannt: 1
Infiziert: 0
Verdächtig: 0
Desinfiziert: 0
Dateien nicht gescannt:
Datei D:\\hiberfil.sys kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\spool\\PRINTERS\\FP00000.SHD kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\default kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\SAM kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\SECURITY kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\system kann nicht geöffnet werden.
Scannen von D:\\WINDOWS\\pchealth\\helpctr\\Indices\\merged.hhk wurde abgebrochen. [F-Secure Libra]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\SVGCore.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\MakeAccessible.api wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroRd32.exe wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroRd32.exe1 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\ADMPlugin.apl wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroForm.api wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\PPKLite.api wurde abgebrochen. [F-Secure AVP]
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\Common\\admin.pub kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\Common\\policy.ipf kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\chandir.dat kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\L0000002.FCS kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\prs.dat kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\storydb.dat kann nicht geöffnet werden.
Scannen von D:\\Programme\\MSN\\MSNCoreFiles\\Install\\MSN9Components\\msnmsgs.msi\\stream 22\\msnmsgrexe.ADEB440D_7847_4F65_80BD_899870ED2EC9 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\E2561403.CAB\\EXCEL.EXE wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\E3561403.CAB\\XLMAIN11.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\EV561403.CAB\\VBAXL10.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\L2561406.CAB\\OUTLLIB.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\O1561412.CAB\\MSO.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\WV561408.CAB\\VBAWD10.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\YA561406.CAB\\OWC10.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\YB561413.CAB\\OWC11.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\ZC561401.CAB\\HTMLREF.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Eine Datei in Archiv D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\ZF612707.CAB\\REFSPCL.TTF kann nicht geöffnet werden
Datei D:\\Dokumente und Einstellungen\\NetworkService\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\NetworkService\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\LocalService\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\LocalService\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\Anwendungsdaten\\ispnews\\ispn.ini kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW1.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW2.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW3.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW4.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW5.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW6.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW7.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW8.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW9.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterAntiVirusDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterFirewallDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterUpdateDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
--------------------------------------------------------------------------------
Optionen
Version der Virendefinitionen:
2005-11-25_02
Scan-Module:
F-Secure AVP: 6.0.167.6190, 2005-11-25
F-Secure Libra: 2.01.10, 2005-11-25
F-Secure Orion: 1.02.33, 2005-11-25
Scan-Optionen:
Alle Dateien scannen
Archive scannen: ein
Aktion:
Nach Scannen fragen
--------------------------------------------------------------------------------
Das Problem ist ja eigentlich, dass mir das Tool nachdem es 2Std lang gesucht hat zwar diese Auflistung zeigt, die Viren aber anscheinend nicht gelöscht hat..
Ich bin für jede Antwort dankbar,
mfg
c.
Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge
Vielen Dank mmk,
nun sogesehen.. (das klingt jetzt bestimmt ziemlich nachlässig) läuft besagter PC auf Xp ohne SP1 geschweige denn SP2. Ich habe immer davor gescheut die packages zu saugen weil das mit meiner 64Kbps Leitung tage dauert... aber wahrscheinlich ist das ein Grund dafür. Die hatte ich ganz vergessen.
"Ungeschützt" heisst ganz einfach ohne Firewall, Virenschutz etc. Und etwas explizit schadhaftes wurde eigentlich nicht heruntergeladen. Möglicherweise jedoch einschlägig bekannte Seiten angesurft (crackz.ws usw usf..).
Danke auch für den Link. Also formatieren? Nungut..
Jetzt nur nocheinmal zur Sicherheit:
-Ich formatiere das System neu (Alle Partitionen formatiert)
-Auf C: kommt XP-SP2
-Auf D: Daten
-Ausserdem noch die im Link empfohlenen Patches
Reicht mir dann F-Secure als Firewall und Scanner? Oder doch besser ZoneAlarm? Norton? Wenn ich mich in Zukunft von befallenen Seiten fernhalte und sagen wir einmal das Internet nur mehr zum mails checken benutze?
Vielen Dank für alle Antworten an dieser Stelle, ihr helft mir gerade sehr aus der Klemme!
mfg
c.