Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Hilfe! Virenbericht von F-Secure...

parasid / 9 Antworten / Flachansicht Nickles

Guten Tag,

ich war mit meinem Arbeitscomputer vor ein paar Tagen "ungeschützt" im Netz. Das hat anscheinend ausgereicht um ihn mit mehreren bösartigen Gesellen zu infizieren. Ich benutze das jetzt Virenscan&Firewalltool von F-Secure (keine Ahnung ob das was wert ist..) und er zeigt mir folgenden Bericht, mit dem ich allerdings nicht viel anfangen kann.. (übrigens habe ich mit Search&Destroy schon einiges an Spyware gelöscht und auch HijackThis laufen lassen)

Ich hoffe dass es jemanden unter euch gibt, der mir sagen kann ob und wenn ja wie sehr mein Computer infiziert ist. Und wie ich die Schädlinge wieder loswerden kann.. Vielen Dank im Vorraus!

Scanbericht:

Scan-Bericht
Freitag, 25. November 2005 17:20:12 - 17:21:58
Computername: Betrieb __________
Ziel: C:\\ D:\\


--------------------------------------------------------------------------------

Ergebnis: 18 Viren gefunden
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temp\\bb.0xe Infektion: Trojan-Dropper.Win32.Agent.abo
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\kl[2].0xt Infektion: Trojan-Downloader.Win32.Small.bww
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\index[7].0tm Infektion: Exploit.HTML.Mht
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\adv698[1].0tm Infektion: Trojan-Dropper.VBS.Inor.cz
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\index[4].0tm Infektion: Exploit.VBS.Phel.a
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\cmdexe2[1].0xt Infektion: Trojan-Downloader.VBS.Phel.a
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\bb[1].0xe Infektion: Trojan-Dropper.Win32.Agent.abo
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\sploit[1].0nr Infektion: Trojan-Downloader.Win32.Ani.c
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\paytime[1].0xt Infektion: Trojan.Win32.StartPage.afs
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\isda1012_2062_m[3].0xe Infektion: Trojan.Win32.Dialer.hz
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\index[3].0tm Infektion: Exploit.HTML.Mht
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\cmdexe[1].0xt Infektion: Trojan-Downloader.VBS.Phel.a
D:\\WINDOWS\\system32\\PAYTIME.0XE Infektion: Trojan.Win32.StartPage.afs
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106069.0xe Infektion: Trojan-Spy.Win32.Briss.h
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106062.0xe Infektion: Trojan.Win32.KillApp.f
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106061.0xe Infektion: Backdoor.Win32.VB.oq
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106059.0xe Infektion: Trojan.Win32.Septic.a
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP47\\A0107709.0xe Infektion: Trojan.Win32.Spooner.f


--------------------------------------------------------------------------------

Statistiken
Dateien:
Gescannt: 44446
Infiziert: 18
Verdächtig: 0
Desinfiziert: 0
Umbenannt: 0
Gelöscht: 0
Nicht gescannt: 51
Boot-Sektoren:
Gescannt: 1
Infiziert: 0
Verdächtig: 0
Desinfiziert: 0
Dateien nicht gescannt:
Datei D:\\hiberfil.sys kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\spool\\PRINTERS\\FP00000.SHD kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\default kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\SAM kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\SECURITY kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\system kann nicht geöffnet werden.
Scannen von D:\\WINDOWS\\pchealth\\helpctr\\Indices\\merged.hhk wurde abgebrochen. [F-Secure Libra]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\SVGCore.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\MakeAccessible.api wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroRd32.exe wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroRd32.exe1 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\ADMPlugin.apl wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroForm.api wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\PPKLite.api wurde abgebrochen. [F-Secure AVP]
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\Common\\admin.pub kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\Common\\policy.ipf kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\chandir.dat kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\L0000002.FCS kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\prs.dat kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\storydb.dat kann nicht geöffnet werden.
Scannen von D:\\Programme\\MSN\\MSNCoreFiles\\Install\\MSN9Components\\msnmsgs.msi\\stream 22\\msnmsgrexe.ADEB440D_7847_4F65_80BD_899870ED2EC9 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\E2561403.CAB\\EXCEL.EXE wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\E3561403.CAB\\XLMAIN11.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\EV561403.CAB\\VBAXL10.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\L2561406.CAB\\OUTLLIB.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\O1561412.CAB\\MSO.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\WV561408.CAB\\VBAWD10.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\YA561406.CAB\\OWC10.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\YB561413.CAB\\OWC11.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\ZC561401.CAB\\HTMLREF.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Eine Datei in Archiv D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\ZF612707.CAB\\REFSPCL.TTF kann nicht geöffnet werden
Datei D:\\Dokumente und Einstellungen\\NetworkService\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\NetworkService\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\LocalService\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\LocalService\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\Anwendungsdaten\\ispnews\\ispn.ini kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW1.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW2.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW3.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW4.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW5.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW6.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW7.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW8.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW9.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterAntiVirusDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterFirewallDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterUpdateDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.


--------------------------------------------------------------------------------

Optionen
Version der Virendefinitionen:
2005-11-25_02
Scan-Module:
F-Secure AVP: 6.0.167.6190, 2005-11-25
F-Secure Libra: 2.01.10, 2005-11-25
F-Secure Orion: 1.02.33, 2005-11-25
Scan-Optionen:
Alle Dateien scannen
Archive scannen: ein
Aktion:
Nach Scannen fragen

--------------------------------------------------------------------------------

Das Problem ist ja eigentlich, dass mir das Tool nachdem es 2Std lang gesucht hat zwar diese Auflistung zeigt, die Viren aber anscheinend nicht gelöscht hat..

Ich bin für jede Antwort dankbar,


mfg


c.

bei Antwort benachrichtigen
Ergänzung!!! parasid
rill parasid „Vielen Dank mmk, nun sogesehen.. das klingt jetzt bestimmt ziemlich nachlässig...“
Optionen

Nur-Formatieren löst nicht das Problem von 2 vorhandenen Betriebssystemen, Du mußt radikal die Partitionen löschen und neu erstellen (eventuell mit neuer Größenverteilung) und erst danach formatieren.

Versuche unbedingt eine XP-Version mit integriertem SP2 zu verwenden! Entweder Du erstellst eine s. g. "Slipstream-CD" (Anleitungen dazu gibt es genug im Internet_unter dem Stichwort "slipstream"). Das SP2 ist aktuell auf verschiedenen PC-Zeitschriften-CDs (Microsoft "Sicherheits-CD"), da sparst Du den Download.

Eine andere Möglichkeit ist die Ausleihe einer XP-Original-CD mit integriertem SP2 - bei der Installation verwendest Du aber Deinen Product-Key (von XP-CD ohne SP1/2).

Nach der Installation (eventuell mit Treiberinstallation für Internetzugang) solltest Du sofort auf die Microsoft-Seite gehen und sämtliche Updates installieren lassen (vorherige Aktiviereung neuerdings erforderlich) ... das kann man vor der Installation eines Virenscanners machen, der nächste Schritt ist allerdings die Installation eines Virenscanners mit Aktualisierung der Virensignaturen.

Ich persönlich halte nichts von zusätzlichen Desktop-Firewalls, SP2 bringt eine integrierte Firewall mit. F-Secure kenne ich nicht aus eigener Erfahrung. Ich bin von Norton auf G-Data AVK (Kaspersky + Bitdefender) umgestiegen, nachdem ich feststellen mußte, daß Norton einige Viren übersah, die Kaspersky aber fand (ein Virus war sehr gefährlich, wollte PayPal ausschnüffeln).



rill

bei Antwort benachrichtigen