Guten Tag,
ich war mit meinem Arbeitscomputer vor ein paar Tagen "ungeschützt" im Netz. Das hat anscheinend ausgereicht um ihn mit mehreren bösartigen Gesellen zu infizieren. Ich benutze das jetzt Virenscan&Firewalltool von F-Secure (keine Ahnung ob das was wert ist..) und er zeigt mir folgenden Bericht, mit dem ich allerdings nicht viel anfangen kann.. (übrigens habe ich mit Search&Destroy schon einiges an Spyware gelöscht und auch HijackThis laufen lassen)
Ich hoffe dass es jemanden unter euch gibt, der mir sagen kann ob und wenn ja wie sehr mein Computer infiziert ist. Und wie ich die Schädlinge wieder loswerden kann.. Vielen Dank im Vorraus!
Scanbericht:
Scan-Bericht
Freitag, 25. November 2005 17:20:12 - 17:21:58
Computername: Betrieb __________
Ziel: C:\\ D:\\
--------------------------------------------------------------------------------
Ergebnis: 18 Viren gefunden
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temp\\bb.0xe Infektion: Trojan-Dropper.Win32.Agent.abo
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\kl[2].0xt Infektion: Trojan-Downloader.Win32.Small.bww
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\index[7].0tm Infektion: Exploit.HTML.Mht
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\LC68ZE1K\\adv698[1].0tm Infektion: Trojan-Dropper.VBS.Inor.cz
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\index[4].0tm Infektion: Exploit.VBS.Phel.a
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\cmdexe2[1].0xt Infektion: Trojan-Downloader.VBS.Phel.a
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\R8TSAK11\\bb[1].0xe Infektion: Trojan-Dropper.Win32.Agent.abo
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\sploit[1].0nr Infektion: Trojan-Downloader.Win32.Ani.c
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\paytime[1].0xt Infektion: Trojan.Win32.StartPage.afs
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\isda1012_2062_m[3].0xe Infektion: Trojan.Win32.Dialer.hz
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\index[3].0tm Infektion: Exploit.HTML.Mht
D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\WPUUGEPW\\cmdexe[1].0xt Infektion: Trojan-Downloader.VBS.Phel.a
D:\\WINDOWS\\system32\\PAYTIME.0XE Infektion: Trojan.Win32.StartPage.afs
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106069.0xe Infektion: Trojan-Spy.Win32.Briss.h
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106062.0xe Infektion: Trojan.Win32.KillApp.f
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106061.0xe Infektion: Backdoor.Win32.VB.oq
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP46\\A0106059.0xe Infektion: Trojan.Win32.Septic.a
C:\\System Volume Information\\_restore{2FFC3757-695B-4FF9-A3EE-0293847434E4}\\RP47\\A0107709.0xe Infektion: Trojan.Win32.Spooner.f
--------------------------------------------------------------------------------
Statistiken
Dateien:
Gescannt: 44446
Infiziert: 18
Verdächtig: 0
Desinfiziert: 0
Umbenannt: 0
Gelöscht: 0
Nicht gescannt: 51
Boot-Sektoren:
Gescannt: 1
Infiziert: 0
Verdächtig: 0
Desinfiziert: 0
Dateien nicht gescannt:
Datei D:\\hiberfil.sys kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\spool\\PRINTERS\\FP00000.SHD kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\default kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\SAM kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\SECURITY kann nicht geöffnet werden.
Datei D:\\WINDOWS\\system32\\config\\system kann nicht geöffnet werden.
Scannen von D:\\WINDOWS\\pchealth\\helpctr\\Indices\\merged.hhk wurde abgebrochen. [F-Secure Libra]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\SVGCore.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\MakeAccessible.api wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroRd32.exe wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroRd32.exe1 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\ADMPlugin.apl wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\AcroForm.api wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\WINDOWS\\Cache\\Adobe Reader 6.0.1\\DEUBIG\\Data1.cab\\PPKLite.api wurde abgebrochen. [F-Secure AVP]
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\Common\\admin.pub kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\Common\\policy.ipf kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\chandir.dat kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\L0000002.FCS kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\prs.dat kann nicht geöffnet werden.
Datei D:\\Programme\\Raiffeisen OnLine InternetSecurity\\backweb\\7936210\\Users\\Default\\Data\\storydb.dat kann nicht geöffnet werden.
Scannen von D:\\Programme\\MSN\\MSNCoreFiles\\Install\\MSN9Components\\msnmsgs.msi\\stream 22\\msnmsgrexe.ADEB440D_7847_4F65_80BD_899870ED2EC9 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\E2561403.CAB\\EXCEL.EXE wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\E3561403.CAB\\XLMAIN11.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\EV561403.CAB\\VBAXL10.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\L2561406.CAB\\OUTLLIB.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\O1561412.CAB\\MSO.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\WV561408.CAB\\VBAWD10.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\YA561406.CAB\\OWC10.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\YB561413.CAB\\OWC11.DLL wurde abgebrochen. [F-Secure AVP]
Scannen von D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\ZC561401.CAB\\HTMLREF.CHM_1031 wurde abgebrochen. [F-Secure AVP]
Eine Datei in Archiv D:\\MSOCache\\All Users\\90000407-6000-11D3-8CFE-0150048383C9\\ZF612707.CAB\\REFSPCL.TTF kann nicht geöffnet werden
Datei D:\\Dokumente und Einstellungen\\NetworkService\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\NetworkService\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\LocalService\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\LocalService\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\NTUSER.DAT kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\Lokale Einstellungen\\Anwendungsdaten\\Microsoft\\Windows\\UsrClass.dat kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\Daniela\\Anwendungsdaten\\ispnews\\ispn.ini kann nicht geöffnet werden.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW1.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW2.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW3.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW4.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW5.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW6.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW7.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW8.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\CoolWWWSearchWCADW9.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterAntiVirusDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterFirewallDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
Datei D:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy\\Recovery\\WindowsSecurityCenterUpdateDisableNotify.zip\\sbRecovery.reg ist verschlüsselt.
--------------------------------------------------------------------------------
Optionen
Version der Virendefinitionen:
2005-11-25_02
Scan-Module:
F-Secure AVP: 6.0.167.6190, 2005-11-25
F-Secure Libra: 2.01.10, 2005-11-25
F-Secure Orion: 1.02.33, 2005-11-25
Scan-Optionen:
Alle Dateien scannen
Archive scannen: ein
Aktion:
Nach Scannen fragen
--------------------------------------------------------------------------------
Das Problem ist ja eigentlich, dass mir das Tool nachdem es 2Std lang gesucht hat zwar diese Auflistung zeigt, die Viren aber anscheinend nicht gelöscht hat..
Ich bin für jede Antwort dankbar,
mfg
c.
Viren, Spyware, Datenschutz 11.227 Themen, 94.377 Beiträge
Danke für die Antworten.
Ich habe mich der Einfachheit dafür entschieden den PC komplett herzurichten. d.h.:
- Backup aller wichtigen Daten
- Löschen aller Partitionen
- Formatierung
- Neuinstallation von Xp (SP2!!!)
- Dann noch F-Secure drauf
und das sollte eig. reichen. Also, vielen Dank nochmal an alle und wenn man etwas daraus lernen kann, dann: Niemals ohne Verhütung ins Internet!
c.