Win32.Randex.1.Gen und Logfile

#1 Hallo zusammen

Mein AV hat diesen Wurm auf meinen Rechner gefunden und kann ihn aber nicht desinfizieren, löschen oder in Quarantäne schicken. Als AV Programm habe ich Bit-Defender auf dem Rechner und als Firewall Zone-Alarm. Zuerst war er nur unter WINNT/System32/GT.exe, allerdings nach dem Versuch in ihn Quarantäne zu schicken ist er jetzt in Dokumente und Einstellungen auch zu finden. Bislang hat Bit-Defender wenn es einen Virus gefunden hat desinfiziert und fertig, und nun hab ich da ein Problem und weiß nicht so recht wie ich das angehen soll da ich mich bei solchen Sachen sehr wenig bis gar nicht auskenne.
Weiter unten ist ja schon mal über diesen Wurm geschrieben worden das ich mir auch durchgelesen habe und nun erstmal die neuesten updates von Microsoft runter geladen habe. Desweiteren habe ich mir nun dieses Hijackthis runter geladen und mal getestet. Vielleicht kann mir ja jemand was dazu sagen. Man kann es ja auch online testen lassen was ich auch gemacht habe aber leider ist das alles auf Englisch und ich bin den bebilderten Anweisungen nachgegangen. Aber so recht weiß ich nun auch nicht ob ich das richtig gemacht habe. Das Ergebnis sieht so aus:

Logfile of HijackThis v1.98.2
Scan saved at 22:41:20, on 17.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\ESM2\SAgentNT.exe
C:\ESM2\EBRR.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\Explorer.EXE
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\PROGRA~1\Save\Save.exe
D:\programme\qttask.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\CMMON32.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\claudia1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Terra Conexión
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [deupdchk] C:\WINNT\Dialer\_x-Finder.exe !
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TeenXXX] C:\WINNT\Dialer\pdialer.exe !m ln=WMP200000000454} sl=sx000151} dn=} sn=TeenXXX} tu=http://63.66.136.123/m/} ru=} pl=15} nu=15}
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {00000000-5555-0704-0B53-2C8830E9FAEC} - http://install.questnet.de/soft/ieloader.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14b513c2f55149b19406/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B5790EE-E757-42C1-91E8-96599616FB15}: NameServer = 212.114.152.1 212.114.153.1

Ich wäre euch sehr dankbar wenn ich eure Meinung bzw. Tipps dazu bekomme und was ich denn nun machen kann.

Viele Grüße
Claudia

#2 scanne mit dem HijackThis, hake an, was ich poste und <fix<.Dann starte sofort neu


O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll (file missing)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

O4 - HKLM\..\Run: [deupdchk] C:\WINNT\Dialer\_x-Finder.exe !
Dialer !
O4 - HKLM\..\Run: [TeenXXX] C:\WINNT\Dialer\pdialer.exe !m ln=WMP200000000454} sl=sx000151} dn=} sn=TeenXXX} tu=http://63.66.136.123/m/} ru=} pl=15} nu=15}
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O16 - DPF: {00000000-5555-0704-0B53-2C8830E9FAEC} - http://install.questnet.de/soft/ieloader.cab
.............................................................................................................
Kennen Sie die IP oder die Domäne '212.114.152.1 212.114.153.1 ' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B5790EE-E757-42C1-91E8-96599616FB15}: NameServer = 212.114.152.1 212.114.153.1


NEUSTARTEN

Ueberpruefe mit Kaspersky (poste, was angezeigt wird)
http://www.kaspersky.com/remoteviruschk.html
C:\ESM2\SAgentNT.exe
C:\ESM2\EBRR.EXE
C:\PROGRA~1\Save\Save.exe
C:\WINNT\system32\CMMON32.EXE

...........................................................................................................
##Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

##Gehe in den abgesicherten Modus(wichtig !!!!!!!!!)
http://www.bsi.de/av/texte/winsave.htm
(F8 druecken, wenn der Computer hochfaehrt
-----suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

(Falls etwas erscheint<no delet) , notiere es und poste es dann (!)...denn den Dialer wirst du manuell loeschen muessen.....
......................................................................................................................................

#Lade von hier
AdAware und Search&Destroi
http://www.rokop-security.de/main/article.php?sid=703

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#Lade von dieser Seite<0190/0900-Warner und Einwahlschutz<
http://www.dialerschutz.de/home/Downloads/downloads.html

#Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.---- SICHERHEITSRISIKO
Start<Systemsteuerung<Verwaltung<Dienste


Dann poste das Log noch mal.(mit den Infos von Kaspersky und <eScan<

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina

erstmal herzlichen Dank das du dir die Mühe gemacht hast das ganze anzuschauen und mir hier Hilfe zu posten. Da ich ja nicht so fit in Sachen PC bin habe ich deine anweisungen nach besten Wissen befolgt.

Die vier oben genannten Dateien habe ich bei Kaspersky überprüft und bei allen vieren kam ein O.K.

Bei eScan war das schon etwas anders. Ich hab im abgesicherten Modus geprüft und das ergebnis war
Total Number of Files Scanned: 44618
Total Number of Virus(es) Found: 57
Total Number of Desinfected Files: 0
Total Number of Files Renamed: 16
Total Number of Deleted Files: 4
Total Number of Errors: 1

Das hört sich für mich jetzt erstmal ziemlich erschreckend an, da ich damit mal wieder nicht viel anfangen kann. Hätte ich nun die ganze 57 angezeigten Meldungen notieren sollen? Bei den meisten stand hinten "No Action Taken" (Was heißt das denn?) Bei anderen wieder nur Action Taken, wie z.b.

File C:\Programme\Softwin\BitDefender Professional Edition\Infected\GT.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken:File Renamed

oder

File C\WINNT\Downloaded Programm Files\Conflict.1\instal.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed

File D:\Spybot-Search&Destroy 1.1\Recovery\Central 13Zip infected by "Trojan.Win32.Dialer.cr" Virus. Action Taken File Deleted

Search&Destroi hatte ich schon auf meinen PC aber habe mir nun die aktuellste runtergeladen und es hat 43 Probleme gefunden und behoben.
Das ClearProg muss ich heute noch machen das habe ich leider nicht mehr geschafft gestern abend da ich schon fast am Schreibtisch eingeschlafen bin.

Heute früh habe ich dann einfach nochmal BitDefender laufen lassen und folgende Meldung habe ich erhalten:
Infiziert sind mit Win32.Randex.1.Gen:
C:\Programme\Softwin\BitDefender Professional Edition\Infected\GT.exe.mwt >(Morphine 1.2) > (Upx)
C:\WINNT\system32\GT.exe.mwt > (Morphine 1.2) > (Upx)

Gestern fand ich ihn noch in Dokumente und Einstellung, da ist er jetzt wohl nicht mehr dafür bei BitDefender wenn ich das richtig verstanden habe.
Ach und einmal ist er bei BitDefender in Quarantäne.

Und zu guter Letzt noch mein aktuellster Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 11:19:19, on 19.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\ESM2\SAgentNT.exe
C:\ESM2\EBRR.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\Explorer.EXE
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
D:\programme\qttask.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\claudia1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Terra Conexión
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14b513c2f55149b19406/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

Nun hab ich dich ganz schön zugeschrieben und hoffe das du mir noch ein bisschen weiter helfen kannst.

Herzliche Grüße
Claudia

#4 @Schnuppl
Scanne bitte noch mal mit <eScan< und dann kopiere aus dem View-Log (ist eine Funktion im Scanner, wo das komplette Log aufgelistet ist), die <No Action Taken<heraus und poste sie.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina, da bin ich wieder und auch mit neuem Scan und das ergebniss ist wie folgt.

Thu Aug 19 20:30:58 2004 => File C:\WINNT\System32\PSEXESVC.EXE tagged as not-a-virus:RiskWare.Tool.PsExec.123. No Action Taken.
Thu Aug 19 20:31:25 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Thu Aug 19 20:32:24 2004 => File C:\WINNT\system32\GT.exe.mwt infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
Thu Aug 19 20:32:25 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Thu Aug 19 20:33:50 2004 => File C:\WINNT\system32\PSEXESVC.EXE tagged as not-a-virus:RiskWare.Tool.PsExec.123. No Action Taken.
Thu Aug 19 20:42:35 2004 => File C:\Programme\ORL\VNC\VNCHooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.1540. No Action Taken.
Thu Aug 19 20:42:36 2004 => File C:\Programme\ORL\VNC\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.
Thu Aug 19 20:43:16 2004 => File C:\Programme\Softwin\BitDefender Professional Edition\Infected\GT.exe.mwt infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
Thu Aug 19 20:47:17 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\instal.exe.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Thu Aug 19 20:47:18 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.2\instal.exe.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Thu Aug 19 20:47:20 2004 => File C:\WINNT\Downloaded Program Files\instal.exe.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Thu Aug 19 20:47:23 2004 => File C:\WINNT\Downloaded Program Files\WUInst.dll.mwt.mwt infected by "not-a-virus:AdvWare.SaveNow.ab" Virus. Action Taken: File Renamed.
Thu Aug 19 20:55:24 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Thu Aug 19 20:56:55 2004 => File C:\WINNT\system32\PSEXESVC.EXE tagged as not-a-virus:RiskWare.Tool.PsExec.123. No Action Taken.
Thu Aug 19 20:58:57 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Thu Aug 19 20:59:02 2004 => File D:\Companion\ycomp5_0_2_7.dll.mwt infected by "not-a-virus:AdvWare.Toolbar.Yahoo" Virus. Action Taken: File Renamed.
Thu Aug 19 20:59:42 2004 => File D:\Eigene Dateien\Ser*hier nicht!* update\dtg.040103\s2k.exe tagged as not-a-virusornWare.Dialer.Generic. No Action Taken.
Thu Aug 19 20:59:42 2004 => File D:\Eigene Dateien\Ser*hier nicht!* update\dtg.040103.zip tagged as not-a-virusornWare.Dialer.Generic. No Action Taken.
Thu Aug 19 20:59:42 2004 => File D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:43 2004 => File D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:43 2004 => File D:\Eigene Dateien\seriennummern\neu\dtg.010103.full.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:44 2004 => File D:\Eigene Dateien\seriennummern\neu\fms.2003-04-15.full.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:45 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:45 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:46 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:46 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:46 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:47 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:47 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:48 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:48 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:49 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.

Thu Aug 19 20:59:49 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:50 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:50 2004 => File D:\Eigene Dateien\seriennummern\neu\s2k.020102.full\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:51 2004 => File D:\Eigene Dateien\seriennummern\neu\s2k.020102.full.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:51 2004 => File D:\Eigene Dateien\seriennummern\neu\s2k.071502.full\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:52 2004 => File D:\Eigene Dateien\seriennummern\neu\s2k.071502.full.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:54 2004 => File D:\Eigene Dateien\seriennummern1\neu\dtg.010103.full\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:55 2004 => File D:\Eigene Dateien\seriennummern1\neu\fms.2003-04-15.full\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 20:59:55 2004 => File D:\Eigene Dateien\seriennummern1\neu\neo.2004-01-15\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken.
Thu Aug 19 21:06:58 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\instal.exe.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Thu Aug 19 21:06:59 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.2\instal.exe.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Thu Aug 19 21:07:01 2004 => File C:\WINNT\Downloaded Program Files\instal.exe.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Thu Aug 19 21:07:04 2004 => File C:\WINNT\Downloaded Program Files\WUInst.dll.mwt.mwt.mwt infected by "not-a-virus:AdvWare.SaveNow.ab" Virus. Action Taken: File Renamed.
Thu Aug 19 21:14:54 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Thu Aug 19 21:16:24 2004 => File C:\WINNT\system32\PSEXESVC.EXE tagged as not-a-virus:RiskWare.Tool.PsExec.123. No Action Taken.
Thu Aug 19 21:18:27 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Thu Aug 19 21:18:27 2004 => Total Number of Files Scanned: 44771
Thu Aug 19 21:18:27 2004 => Total Number of Virus(es) Found: 48
Thu Aug 19 21:18:27 2004 => Total Number of Disinfected Files: 0
Thu Aug 19 21:18:27 2004 => Total Number of Files Renamed: 11
Thu Aug 19 21:18:27 2004 => Total Number of Deleted Files: 0
Thu Aug 19 21:18:27 2004 => Total Number of Errors: 1
Thu Aug 19 21:18:27 2004 => Time Elapsed: 00:47:41
Thu Aug 19 21:18:27 2004 => Virus Database Date: 2004/08/09
Thu Aug 19 21:18:27 2004 => Virus Database Count: 100135

Vielen Dank nochmal und eine angenehme Nacht
Liebe Grüße
Claudia

#6 @Schnuppl

Loesche manuell:

1.) D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503\s2k.update.exe
2.) D:\Eigene Dateien\Ser*hier nicht!* update\dtg.040103.zip
3.) D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503\s2k.update.exe
4.) D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503.zip
5.) D:\Eigene Dateien\seriennummern\neu\dtg.010103.full.zip
6.) D:\Eigene Dateien\seriennummern\neu\fms.2003-04-15.full.zip
7.) D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15\s2k.update.exe
8.) D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full\s2k.update.exe
9.) D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full.zip
10.)D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.zip
11.)D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01\s2k.update.exe
12.)D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01.zip
13.)D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15\s2k.update.exe
14.)D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15.zip
15.)D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01\s2k.update.exe
16.)D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01.zip
17.)D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15\s2k.update.exe
18.)D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15.zip
19.)D:\Eigene Dateien\seriennummern\neu\s2k.020102.full\s2k.update.exe
20.)D:\Eigene Dateien\seriennummern\neu\s2k.020102.full.zip
21.)D:\Eigene Dateien\seriennummern\neu\s2k.071502.full\s2k.update.exe
22.)D:\Eigene Dateien\seriennummern\neu\s2k.071502.full.zip
23.)D:\Eigene Dateien\seriennummern1\neu\dtg.010103.full\s2k.update.exe
24.)D:\Eigene Dateien\seriennummern1\neu\fms.2003-04-15.full\s2k.update.exe
25.)D:\Eigene Dateien\seriennummern1\neu\neo.2004-01-15\s2k.update.exe


26.)Unknown Trojan-Trojan
C:\WINNT\system32\PSEXESVC.EXE...loesche das manuell.

---Dann scanne noch mal und poste das Virenlog.

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina

sorry wenn ich dich gleich nochmal belästige aber wenn du mir vielleicht genauer sagst wie ich das löschen muss bzw. wo ich das löschen muss.
Und mit nochmal scannen uns posten des Virenlog meinst du das ich im abgesicherten Modus nochmal mit eScan scanne und das Ergebnis hier rein stelle?
Ich bin wohl nur ein oberflächen PC-Nutzer *schäm* aber durch sowas lern ich auch noch dazu. :o))

Viele Grüße
Claudia

#8 @Schnuppel
Du bist zwar nur ein "einfacher " PC-Benutzer, aber du darfst nich ueberall draufklicken, wo o.k. steht....denn ich habe noch nie einen Computer mit so viel Dialern gesehen


Du musst dir die Arbeit machen und alle manuell loeschen (!)

Zum Beispiel, das ist eine <zip< Datei.
D:\Eigene Dateien\Ser*hier nicht!* update\dtg.040103.zip

#Versteckte Dateien sichtbar machen
Unter Windows XP den "Arbeitsplatz" öffnen. Hier nacheinander auf "Extras" > "Ordneroptionen" klicken. Zum Registerreiter "Ansicht" wechseln. Halten sie nach dem Eintrag "Versteckte Dateien und Ordner" ausschau und klicken direkt darunter auf "Alle Dateien und Ordner anzeigen". Wenn hier die Option schon aktiviert ist ist alles in Ordnung. Andernfalls anklicken und mit "OK" bestätigen.


#Gib also in die Suchfunktion von Windows <zip< ein und loesche dann alle Dialer im Zip<-Format.
Es sind 12:
D:\Eigene Dateien\Ser*hier nicht!* update\dtg.040103.zip
D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503.zip
D:\Eigene Dateien\seriennummern\neu\dtg.010103.full.zip
D:\Eigene Dateien\seriennummern\neu\fms.2003-04-15.full.zip
D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full.zip
D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.zip
D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01.zip
D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15.zip
D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01.zip
D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15.zip
D:\Eigene Dateien\seriennummern\neu\s2k.020102.full.zip
D:\Eigene Dateien\seriennummern\neu\s2k.071502.full.zip


Dann suchst du die <exe< Dateien und loescht sie ebenfalls

Es sind: 13 <EXE< unter <eigene Dateien<

D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503\s2k.update.exe
D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503\s2k.update.exe
D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15\s2k.update.exe
D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full\s2k.update.exe
D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01\s2k.update.exe
D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15\s2k.update.exe
D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01\s2k.update.exe
D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15\s2k.update.exe
D:\Eigene Dateien\seriennummern\neu\s2k.020102.full\s2k.update.exe
D:\Eigene Dateien\seriennummern\neu\s2k.071502.full\s2k.update.exe
D:\Eigene Dateien\seriennummern1\neu\dtg.010103.full\s2k.update.exe
D:\Eigene Dateien\seriennummern1\neu\fms.2003-04-15.full\s2k.update.exe
D:\Eigene Dateien\seriennummern1\neu\neo.2004-01-15\s2k.update.exe

Dann suchst du diese exe und loescht sie (unbedingt)
C:\WINNT\system32\PSEXESVC.EXE....(unbekannter Trojaner)

http://www.dialerschutz.de/home/home.html

Dann scannst du noch mal mit der mwav.exe (im abgesicherten Modus )und postest das Ergebnis.
Und poste auch das neue Log vom HijackThis


Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina

die genannten Zip-Dateien und die Exe-Dateien habe ich alle manuell gelöscht. So schlimm wars gar nicht vom aufwand her.
Dann habe ich mir noch das ClearProg runter geladen und auch ausgeführt. Den Dialerschutz hab ich auch schon runter geladen allerdings noch nicht installiert da ich mir erst die Anleitung genauer ansehen muss, bevor ich was falsch mache.
Im Grunde klicke ich eigentlich wenn ein mir unbekanntes Fenster aufgeht immer auf nein bzw. wenn die Firewall etwas bringt lehne ich das so gut wie immer ab. Allerdings habe ich die Firewall noch keine Ewigkeit.
Beim eScan ist nun zweimal ERROR erschienen, ich weiß nicht ob das wichtig ist daher hab ich es einfach mal mit gepostet.

Hier nun mal das aktuelle eScan ergebniss:

Fri Aug 20 17:23:16 2004 => ERROR!!! Invalid Entry \??\D:\claudia alt\claudia\#LWd_alt#\freetv\nthwio.sys in SYSTEM\CurrentControlSet\Services\nthwio...
Fri Aug 20 17:23:18 2004 => ERROR!!! Invalid Entry %SystemRoot%\System32\PSEXESVC.EXE in SYSTEM\CurrentControlSet\Services\PSEXESVC...
Fri Aug 20 17:23:46 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 20 17:24:46 2004 => File C:\WINNT\system32\GT.exe.mwt.mwt infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
Fri Aug 20 17:24:47 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 20 17:34:31 2004 => File C:\Programme\ORL\VNC\VNCHooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.1540. No Action Taken.
Fri Aug 20 17:34:32 2004 => File C:\Programme\ORL\VNC\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.
Fri Aug 20 17:35:11 2004 => File C:\Programme\Softwin\BitDefender Professional Edition\Infected\GT.exe.mwt.mwt infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
Fri Aug 20 17:39:12 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\instal.exe.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Fri Aug 20 17:39:13 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.2\instal.exe.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Fri Aug 20 17:39:16 2004 => File C:\WINNT\Downloaded Program Files\instal.exe.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Fri Aug 20 17:39:18 2004 => File C:\WINNT\Downloaded Program Files\WUInst.dll.mwt.mwt.mwt.mwt infected by "not-a-virus:AdvWare.SaveNow.ab" Virus. Action Taken: File Renamed.
Fri Aug 20 17:47:23 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 20 17:50:58 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 20 17:51:03 2004 => File D:\Companion\ycomp5_0_2_7.dll.mwt.mwt infected by "not-a-virus:AdvWare.Toolbar.Yahoo" Virus. Action Taken: File Renamed.
Fri Aug 20 17:58:52 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\instal.exe.mwt.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Fri Aug 20 17:58:53 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.2\instal.exe.mwt.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Fri Aug 20 17:58:56 2004 => File C:\WINNT\Downloaded Program Files\instal.exe.mwt.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
Fri Aug 20 17:58:58 2004 => File C:\WINNT\Downloaded Program Files\WUInst.dll.mwt.mwt.mwt.mwt.mwt infected by "not-a-virus:AdvWare.SaveNow.ab" Virus. Action Taken: File Renamed.
Fri Aug 20 18:06:52 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 20 18:10:26 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Fri Aug 20 18:10:27 2004 => Total Number of Files Scanned: 43996
Fri Aug 20 18:10:27 2004 => Total Number of Virus(es) Found: 19
Fri Aug 20 18:10:27 2004 => Total Number of Disinfected Files: 0
Fri Aug 20 18:10:27 2004 => Total Number of Files Renamed: 11
Fri Aug 20 18:10:27 2004 => Total Number of Deleted Files: 0
Fri Aug 20 18:10:27 2004 => Total Number of Errors: 2
Fri Aug 20 18:10:27 2004 => Time Elapsed: 00:47:22
Fri Aug 20 18:10:27 2004 => Virus Database Date: 2004/08/09
Fri Aug 20 18:10:27 2004 => Virus Database Count: 100135


Und auch das aktuellste Ergebniss von Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 19:16:39, on 20.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\ESM2\SAgentNT.exe
C:\WINNT\system32\stisvc.exe
C:\ESM2\EBRR.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\Explorer.EXE
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
D:\programme\qttask.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINNT\system32\notepad.exe
C:\WINNT\system32\notepad.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\claudia1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Terra Conexión
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14b513c2f55149b19406/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

Vielen Dank auch nochmal für deine Bemühungen, ich bin ja zuversichtlich das ich das mit deiner Hilfe wieder hinbekomme :o)

Viele Grüße
Claudia

#10 Deinstalliere mal bitte den Bitdefender (komplett) und dann installiere ihn neu.
Dann scanne noch ,mal mit <mwav.exe< und poste . was noch angezeigt wird

Frage: Hast du C:\WINNT\system32\PSEXESVC.EXE geloescht ?(im abgesicherten Modus)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina

Zu deiner Frage, ich habe die Datei C:\WINNT\system32\PSEXESVC.EXE geloescht allerdings nicht im agesicherten Modus. Das war wohl Falsch?
Ich habe zwar im abgesicherten Modus nochmal danach gesucht aber keine mehr gefunden. Habe ich deshalb nun mehr "Error" im Scan als vorher?

mein neuester scan und das ergebniss:

Sun Aug 22 10:55:01 2004 => ERROR!!! Invalid Entry \??\D:\claudia alt\claudia\#LWd_alt#\freetv\nthwio.sys in SYSTEM\CurrentControlSet\Services\nthwio...

Sun Aug 22 10:55:03 2004 => ERROR!!! Invalid Entry %SystemRoot%\System32\PSEXESVC.EXE in SYSTEM\CurrentControlSet\Services\PSEXESVC...

Sun Aug 22 11:33:50 2004 => ERROR!!! FindFirstFile For C:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5)

Sun Aug 22 12:06:32 2004 => ERROR!!! FindFirstFile For D:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5)

Sun Aug 22 12:07:05 2004 => ERROR!!! FindFirstFile For F:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5)


Sun Aug 22 10:55:39 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sun Aug 22 10:56:46 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sun Aug 22 11:28:34 2004 => File C:\Programme\ORL\VNC\VNCHooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.1540. No Action Taken.

Sun Aug 22 11:28:34 2004 => File C:\Programme\ORL\VNC\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.

Sun Aug 22 11:50:07 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sun Aug 22 11:54:09 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sun Aug 22 11:57:12 2004 => File D:\Eigene Dateien\ymsgrde5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sun Aug 22 12:23:03 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sun Aug 22 12:27:08 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sun Aug 22 12:27:09 2004 => Total Number of Files Scanned: 44059
Sun Aug 22 12:27:09 2004 => Total Number of Virus(es) Found: 9
Sun Aug 22 12:27:09 2004 => Total Number of Disinfected Files: 0
Sun Aug 22 12:27:09 2004 => Total Number of Files Renamed: 0
Sun Aug 22 12:27:09 2004 => Total Number of Deleted Files: 0
Sun Aug 22 12:27:09 2004 => Total Number of Errors: 5
Sun Aug 22 12:27:09 2004 => Time Elapsed: 01:32:09
Sun Aug 22 12:27:09 2004 => Virus Database Date: 2004/08/09
Sun Aug 22 12:27:09 2004 => Virus Database Count: 100135


Mein neuester LogFile einfach mal dazu

Logfile of HijackThis v1.98.2
Scan saved at 13:34:24, on 22.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\ESM2\SAgentNT.exe
C:\ESM2\EBRR.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\Explorer.EXE
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
D:\programme\qttask.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINNT\system32\notepad.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\claudia1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Terra Conexión
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14b513c2f55149b19406/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

Einen schönen Sonntag wünsche ich noch
Grüße Claudia