Home » Viren, Trojaner & Malware Forum » trojan.errhijack - werde ich nicht los » Themenansicht

trojan.errhijack - werde ich nicht los
#0
15.01.2005, 10:14
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 natuerlich DEaktiviert (der Schreibteufel )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.03.2005, 14:30
jim99
Member

Themenstarter

Beiträge: 14
#17 Hallo Sabina!

Könntest Du mir bitte noch einmal helfen:
Ich habe wohl einen Trojaner in der Thunderbird Inbox. AntiVir hat diesen zumindest gemeldet. Ich konnte nur zwischen "Zugang erlauben und Datei belassen" und "Abbruch" wählen. Daraufhin habe ich abgebrochen. Die bis dahin erhaltenen Mails in der Inbox werden seitdem nicht mehr dargestellt, sprich sie sind einfach weiß. AntiVir zeigt aber jetzt auch keinen Virus mehr an. Ich weiß nicht, was ich tun soll. Mein Hijack Logfile habe ich unten gepostet:

Logfile of HijackThis v1.99.0
Scan saved at 14:28:38, on 10.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
D:\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Quicktime\qttask.exe
D:\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
D:\AVPersonal\AVSCHED32.EXE
D:\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Adobe\Acrobat5.0\Distillr\AcroTray.exe
D:\Iomega\Tools_NT\IMGICON.EXE
D:\Palm\HOTSYNC.EXE
d:\AVPersonal\AVGUARD.EXE
D:\mozilla thunderbird\thunderbird.exe
D:\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://web.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://web.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Adobe\Acrobat5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] d:\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] d:\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Adobe\Acrobat5.0\Distillr\AcroTray.exe
O4 - Global Startup: Iomega - Startoptionen.lnk = D:\Iomega\Tools_NT\STARTNT.EXE
O4 - Global Startup: Iomega-Symbole.lnk = D:\Iomega\Tools_NT\IMGICON.EXE
O4 - Global Startup: Refresh.lnk = D:\Iomega\Tools_NT\REFRESH.EXE
O4 - Global Startup: Splash.lnk = D:\Iomega\Tools_NT\SPLASH.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - d:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - d:\AVPersonal\AVWUPSRV.EXE
O23 - Service: IomegaAccess - Iomega Corporation - d:\Iomega\Tools_NT\IOMEGAACCESS.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
O23 - Service: ZipToA - Unknown - C:\WINDOWS\System32\ZipToA.exe
Seitenanfang Seitenende
10.03.2005, 15:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Hallo@jim99

#öffne das HijackThis-->> Button "scan" -->>

O16 - DPF: Win32 Classes -

Häkchen setzen -->> Button "Fix

PC neustarten

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

________________________________________________________________

deinstalliere den Thunderbird und dann lade ihn neu.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.03.2005, 18:37
jim99
Member

Themenstarter

Beiträge: 14
#19 Hallo Sabina,

habe alles gemacht, wie Du es beschrieben hast. eScan hat keinen Virus gefunden. Thunderbird habe ich de- und wieder neu instaliert. Es wurde anscheinend nicht komplett deinstalliert, da die alten Mails noch angezeigt wurden - allerdings wie schon vorher wurde der Text nicht dargestellt. Diese Mails habe ich jetzt einfach gelöscht. Mit neuen Mails habe ich kein Problem. Das Programm an sich funktioniert einwandfrei. Hier nochmal das aktuelle HijackThis-Log:

Logfile of HijackThis v1.99.0
Scan saved at 18:06:44, on 13.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\AVPersonal\AVGUARD.EXE
d:\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
D:\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Quicktime\qttask.exe
D:\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
D:\AVPersonal\AVSCHED32.EXE
D:\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Adobe\Acrobat5.0\Distillr\AcroTray.exe
D:\Iomega\Tools_NT\IMGICON.EXE
D:\Palm\HOTSYNC.EXE
D:\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://web.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://web.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Adobe\Acrobat5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] d:\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] d:\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Adobe\Acrobat5.0\Distillr\AcroTray.exe
O4 - Global Startup: Iomega - Startoptionen.lnk = D:\Iomega\Tools_NT\STARTNT.EXE
O4 - Global Startup: Iomega-Symbole.lnk = D:\Iomega\Tools_NT\IMGICON.EXE
O4 - Global Startup: Refresh.lnk = D:\Iomega\Tools_NT\REFRESH.EXE
O4 - Global Startup: Splash.lnk = D:\Iomega\Tools_NT\SPLASH.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - d:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - d:\AVPersonal\AVWUPSRV.EXE
O23 - Service: IomegaAccess - Iomega Corporation - d:\Iomega\Tools_NT\IOMEGAACCESS.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
O23 - Service: ZipToA - Unknown - C:\WINDOWS\System32\ZipToA.exe
Seitenanfang Seitenende
14.03.2005, 12:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 nun, dann ist ja alles in Ordnung ;)

Allerdings solltest du schleunigst die WindowsUpdates machen, also SP2 laden, ansonsten wirst du hier "Dauerkunde"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.03.2005, 10:19
jim99
Member

Themenstarter

Beiträge: 14
#21 Alles klar!

Vielen, vielen Dank!!!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12