Hilfe >tr/dldr.small.oc + Tr/dldr.inapsol + Dialer< |
||
---|---|---|
#0
| ||
14.01.2005, 05:49
Member
Beiträge: 11 |
||
|
||
14.01.2005, 08:55
Member
Themenstarter Beiträge: 11 |
#2
Habe mir mal eScan runtergeladen da in dem einen Thread die Trojaner mit diesem Programm gelöscht werden konnten,klappte bei mir nicht.
Ich muss das Prog. angeblich kaufen damit da was gelöscht/repariert werden kann. Hier mal der scanlog : File C:\WINDOWS\svchost.exe infected by "Trojan-Downloader.Win32.Small.acd" Virus. Action Taken: No Action Taken. File C:\WINDOWS\d.exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken. File C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken. File C:\WINDOWS\st.exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp11.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp14.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp17.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp1A.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp1D.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp2.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp20.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp24.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp25.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp29.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp2B.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp30.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp32.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp35.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp38.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp3B.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp3F.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp40.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp44.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp45.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp48.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp4A.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp4E.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp5.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp53.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp56.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp57.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp58.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp5B.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp5F.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp64.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp67.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp6B.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp6D.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp70.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp71.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp75.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp8.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmpA.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmpE.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\TEMPOR~1\Content.IE5\8NXNEU7P\405[1].exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Rene\LOKALE~1\TEMPOR~1\Content.IE5\ETKFUDM5\d[2].exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken. |
|
|
||
14.01.2005, 09:29
Member
Beiträge: 669 |
#3
Folgende Schritte, Systemwiederherstellung deaktivieren, Windows im abgesicherten Modus starten (Bei Windows XP F8 während des Bootvorgangs drücken um im abgesicherten Modus zu starten). Infizierte Dateien, welche eScan gemeldet hat löschen
(eScan hat früher die Viren/Malware entfernt, mittlerweile scannt die Software nur noch, macht nichts, ist trotzdem noch sehr nützlich und effektiv.) weiterhin im abgesicherten Modus: HijackThis Einträge: böse, und somit unbedingt fixen: C:\WINDOWS\svchost.exe - Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als Böse einzustufen. O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing - Prüfe deine Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org! eventuell böse, kennst du diese Einträge? O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {4E662B9B-3A07-4084-A04D-3D4F709E2D7F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {4E662B9B-3A07-4084-A04D-3D4F709E2D7F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) unbekannte Einträge, was kennst du davon, was nicht? C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe C:\WINDOWS\d.exe - sieht aufgrund der Tatsache das es unbekannt ist und im Win-Ordner läuft verdächtig aus F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\netdc.exe O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe - Zusammenhang mit dem bösen Eintrag (siehe oben) O4 - Startup: winupdate85018101[1].exe O21 - SSODL: IntegrityChecker - {740D0464-7CDD-4D0A-9883-F9DDF373C547} - C:\WINDOWS\System32\dvduadvd.cnt O23 - Service: Deepsight Extractor - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe O23 - Service: DeepSight Extractor Service for NPF03 - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorServiceNPF03.exe O23 - Service: DeepSight Extractor Service for NPF04 - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorServiceNPF04.exe alternativ kannst du das ganze auch nochmal übersichtlicher aufgelistet haben: http://www.hijackthis.de/ Und zwar indem du hier dein Log reinkopierst und automatisch auswerten lässt (Ich bin nämlich kein HijackThis-Pro, das überlasse ich den Experten wie Sabina ^^). __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
14.01.2005, 11:35
Member
Themenstarter Beiträge: 11 |
#4
Hab das gemacht und dann nochmal mit anti vir gescannt,immer noch die gleichen `Viren,hab den Scan dann abgebrochen..
Erstellungsdatum der Reportdatei: Freitag, 14. Januar 2005 11:31 AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004 VDF-Datei v6.29.0.61 (0) vom 13.01.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 95473 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ EMail ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 2) Benutzername: Rene Prozessor: Pentium Arbeitsspeicher: 785904 KB frei Versionsinformationen: AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58 AVEWIN32.DLL : v6.29.0.7 791040 14.01.2005 05:33:38 AVGNT.EXE : v6.28.00.02 127016 08.11.2004 08:12:44 AVGUARD.EXE : v6.29.00.03 241704 17.11.2004 14:44:04 GUARDMSG.DLL : v6.28.00.02 98344 30.09.2004 08:10:44 AVGCMSG.DLL : v6.28.00.02 266280 08.11.2004 08:12:44 AVGNTDD.SYS : v6.29.00.02 32560 10.12.2004 12:46:28 AVPACK32.DLL : v6, 28, 0, 4 303144 28.10.2004 10:37:46 AVGETVER.DLL : v6.22.00.00 24576 30.09.2004 08:10:40 AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58 AVSHLEXT.DLL : v6.22.00.00 57344 30.09.2004 08:10:42 AVSched32.EXE : v6.29.00.00 110632 19.11.2004 12:04:14 AVSched32.DLL : v6.28.00.01 122880 30.09.2004 08:10:42 AVREG.DLL : v6.27.00.01 41000 30.09.2004 08:10:42 AVRep.DLL : v6.29.00.56 860200 14.01.2005 05:33:38 INETUPD.EXE : v6.29.00.02 262203 23.11.2004 12:51:52 INETUPD.DLL : v6.29.00.02 159815 23.11.2004 12:51:52 CTL3D32.DLL : v2.31.000 27136 18.08.2001 20:00:00 MFC42.DLL : v6.02.4131.0 1028096 04.08.2004 00:57:24 MSVCRT.DLL : v7.0.2600.2180 (xpsp_sp2_rtm.0408 MSVCRT.DLL : v7.0.2600.2180 343040 04.08.2004 00:57:30 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\AVPersonal Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Rene\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: hoch Laufwerke: A: Diskettenlaufwerk C: Festplatte D: CDRom E: CDRom Start des Suchlaufs: Freitag, 14. Januar 2005 11:31 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery AlexaRelated.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Dokumente und Einstellungen\LocalService NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\NetworkService NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Rene NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Rene\Desktop\backups backup-20050114-112600-112-netdb.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OC WURDE GELÖSCHT! C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp Perflib_Perfdata_58c.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ~DF891A.tmp Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1GGZ1L09 d[1].exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OC WURDE GELÖSCHT! C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTW7WRO3 405[1].exe [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/301177 (Dialer) WURDE GELÖSCHT! C:\Programme\AVPersonal\INFECTED netdc.VIR [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OC WURDE GELÖSCHT! Suchvorgang wurde vom Benutzer abgebrochen! Ende des Suchlaufs: Freitag, 14. Januar 2005 11:35 Benötigte Zeit: 04:24 min 942 Verzeichnisse wurden durchsucht 7841 Dateien wurden geprüft 15 Warnungen wurden ausgegeben 4 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Viren bzw. unerwünschte Programme wurden gefunden |
|
|
||
14.01.2005, 11:57
Member
Beiträge: 669 |
#5
Noch einmal:
zu den oben genannten HijackThis Einträgen, welche davon sind dir bekannt, welche nicht? Hast du überhaupt mit eScan gescannt? (Wo ist das log mit den Viren-Einträgen? -> Suche nach "infected" -> gefundene Zeilen hier posten) Und bitte keine Scans abbrechen sondern bis zum Ende durchscannen lassen. Warst du während der ganzen Prozedur im abgesicherten Modus? War die Systemwiederherstellung wirklich deaktiviert? Hast du deine temporären Dateien (Internet und Windows) gelöscht? __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
14.01.2005, 15:37
Member
Themenstarter Beiträge: 11 |
#6
Von den HijackThis Einträgen sind mir alle bekannt.
Systemwiederherstellung ist deaktiviert. War die ganze Zeit im abgesicherten Modus. Escan log : Fri Jan 14 08:47:13 2005 => File C:\WINDOWS\svchost.exe infected by "Trojan-Downloader.Win32.Small.acd" Virus. Action Taken: No Action Taken. C:\WINDOWS\d.exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken. C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken. C:\WINDOWS\st.exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken. C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp14.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. <--- über 40 temp datein sind verseucht mit diesem Trojaner,wie lösch ich die? Hab im abgesichertenn Modus unter IE Einstellungen alle Temporären Internet datein und cookies gelöscht,trotzdem wird angezigt das die temp datein mit einem Trojaner infiziert sind) C:\DOKUME~1\Rene\LOKALE~1\TEMPOR~1\Content.IE5\ETKFUDM5\d[2].exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken. i Jan 14 08:51:32 2005 => File C:\DOKUME~1\Rene\LOKALE~1\TEMPOR~1\Content.IE5\8NXNEU7P\405[1].exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: No Action Taken.DIALER?!?!?! Ich versteh nich wie das überhaupt auf meinen Pc gelangen konnte,ich hab anti vir und schaue jeden Tag nach Updates,taugt das Prog. nichts? Dieser Beitrag wurde am 14.01.2005 um 15:41 Uhr von cotty editiert.
|
|
|
||
14.01.2005, 16:02
Member
Beiträge: 669 |
#7
Eins vornweg, es gibt bei diesem Thema nie eine 100% Sicherheit, die hast du nur wenn du den Stecker ziehst. So ist das leider.
Ein Dialer kann dir übrigens eigentlich nur gefährlich werden, wenn du dich über ein Modem in das Internet einwählst (DSL-Benutzer sind davor z.B. gefeit). Im abgesicherten Modus die von eScan als infiziert erkannten Dateien löschen. Zu den temp-Dateien: Windows-Explorer: Extras -> Ordneroptionen -> Ansicht [ ] Geschützte Systemdateien ausblenden (empfohlen) <-- Wenn hier ein Haken ist, Haken weg machen, also die Dateien anzeigen lassen. ( ) Versteckte Dateien und Ordner ausblenden <-- umstellen zu: (X) Alle Dateien und Ordner anzeigen Danach nochmal die temporären Ordner durchsuchen. C:\Temp C:\Windows\Temp C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ http://www.clearprog.de/downloads.php nützliches Tool um viele Spuren deines Browsers zu beseitigen (Cookies, Verlauf, Temp-Dateien, etc.) Falls nicht schon geschehen: (aufgrund der eScan Ergebnise gehe ich nicht davon aus) weiterhin im abgesicherten Modus: HijackThis Einträge: böse, und somit unbedingt fixen: C:\WINDOWS\svchost.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing Danach bitte ein neues HijackThis-Log posten. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
14.01.2005, 17:46
Member
Themenstarter Beiträge: 11 |
#8
Hab alles gemacht wie du gesagt hast. Hier das HijackThis-Log :
Logfile of HijackThis v1.99.0 Scan saved at 17:46:38, on 14.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\explorer.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Xfire\Xfire.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\Rene\Desktop\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104833742656 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe |
|
|
||
14.01.2005, 18:50
Member
Beiträge: 669 |
#9
So, sieht ja schonmal besser aus als vorhin hab ich das Gefühl. Allerdings immer noch nicht ganz sauber.
Wieder alles aufgeführte im abgesicherten Modus: Fixe mal: F2 - REG:system.ini: Shell=explorer.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing Danach noch einmal scannen (alle 3 Tools), und ein log. Wenn dann alles sauber ist haben wir's hoffentlich überstanden. Entschuldige das es so viele Anläufe braucht. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
14.01.2005, 23:22
...neu hier
Beiträge: 1 |
#10
Darf ich mich hier mal mit einklinken ??
Ich habe das selbe problem hier mal mein Logfile: Logfile of HijackThis v1.99.0 Scan saved at 23:15:43, on 14.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\AVPersonal\AVGUARD.EXE D:\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe D:\VMware Workstation\vmware-authd.exe C:\WINDOWS\System32\vmnat.exe C:\WINDOWS\System32\vmnetdhcp.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\svchost.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Microsoft ActiveSync\WCESMgr.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE D:\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\notepad.exe D:\Avant Browser\iexplore.exe D:\Avant Browser\aHTTP.exe C:\WINDOWS\system32\NOTEPAD.EXE G:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Symbolleis&te - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1116ff6a4d912eea6d05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094411933859 O17 - HKLM\System\CCS\Services\Tcpip\..\{2D498325-3332-4686-99D5-946152C0E1D7}: NameServer = 81.173.194.68 194.8.194.60 O17 - HKLM\System\CCS\Services\Tcpip\..\{EBA4C0BA-0C6D-42C7-A4D2-2E8B70C42AAF}: NameServer = 192.168.168.254 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: VMware Authorization Service - Unknown - D:\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe O23 - Service: VMware NAT Service - Unknown - C:\WINDOWS\System32\vmnat.exe |
|
|
||
14.01.2005, 23:28
Member
Beiträge: 669 |
#11
Hallo Mavogame,
dann leg mal los, AdAware, Spybot S&D sowie eScan im abgesicherten Modus drüber rennen lassen. Wenn eScan etwas findet: Log speichern -> mit Editor öffnen -> nach "infected" suchen -> betroffene Zeilen komplett posten (Datei, kompletter Pfad, Art der Infektion) Ferner mit HijackThis diese Einträge fixen: C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe Nach dem Prozedere ein neues Log posten __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 14.01.2005 um 23:28 Uhr von Malkesh editiert.
|
|
|
||
15.01.2005, 07:41
Member
Themenstarter Beiträge: 11 |
#12
Habe mit Anti Vir gescannt, 0 Viren gefunden.
Habe mit eScan gescannt, 0 Viren gefunden Hier noch der HyjackThis Log R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing<---- Das is nix böses,gehört zu xfire weil das manhcmal down geht,is halt nur ne beta version O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104833742656 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe Vielen Danke Malkesh Dieser Beitrag wurde am 15.01.2005 um 07:41 Uhr von cotty editiert.
|
|
|
||
15.01.2005, 10:27
Member
Themenstarter Beiträge: 11 |
#13
Andere Frage : Wie konnten die Viren überhaupt auf den Rechner rauf wenn Anti Vir (Immer auf dem neuesten Stand ) rund um die Uhr lief?
|
|
|
||
15.01.2005, 11:50
Member
Beiträge: 669 |
#14
Das log ist leider nicht vollständig, außerdem, was ist mit AdAware und Spybot S&D. Waren deren Ergebnisse ebenfalls positiv?
Zu deinem log-Eintrag: O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing <- deutet normalerweise auf einen Hijacker hin Zu deiner Frage: es gibt mit keinem Scanner/Firewall/Proxy/was auch immer eine 100% Sicherheit im Internet, dessen muss man sich immer bewusst sein. Jeden Tag werden neue Viren entdeckt, aber es dauert eben bis sich die Virenscanner daran anpassen können. Außerdem ist kein einziges Programm bugfrei. Deshalb wird bei akuten Problemen oftmals mit mehreren verschiedenen Scannern getestet was los ist. Der eine übersieht vielleicht was, was der andere dann findet. Doch selbst das gibt keine 100% Sicherheit. Aber bevor du nun auf die Idee kommst mehrere Scanner gleichzeitig laufen zu lassen: lass es, Echtzeitscans von Virenscannern behindern sich gegenseitig wenn sie gleichzeitig laufen. 100% Sicherheit erreicht man nur indem man den Stecker zieht. Doch ebenfalls ein guter Schutz ist es umsichtig und vorsichtig im Internet zu sein, aufpassen was man runterläd, welche Seiten man ansurft etc. - Damit kann man meistens schon ungemein viel erreichen (das soll dir jetzt aber nicht unterstellen das du nicht aufgepasst hast). Ebenfalls gewinnt man schon viel Sicherheit wenn man einen anderen Browser als den Internet Explorer benutzt (z.B Firefox, Opera ...) und sich nicht mit Administratorrechten anmeldet wenn man sie nicht braucht (zum surfen sind sie unnötig, da kann man ein eingeschränktes Konto verwenden). Das sind so die kleinen Dinge die sich summieren, so das man vielleicht wenigstens eine 99% Sicherheit erreicht. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
15.01.2005, 12:15
Member
Themenstarter Beiträge: 11 |
#15
Ok hier nochmal der ganze,dachte das oben is nich so wichtig.
Logfile of HijackThis v1.99.0 Scan saved at 07:40:10, on 15.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\explorer.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Xfire\Xfire.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\DC++\DCPlusPlus.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Rene\Desktop\eScan\mwavscan.com C:\Dokumente und Einstellungen\Rene\Desktop\eScan\kavss.exe C:\Dokumente und Einstellungen\Rene\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104833742656 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe |
|
|
||
Mein Pc ist irgendwie voll mit Viren trotz Routerfirewall und Anti Vir ( mit täglichen Updates )
Die Viren werden zwar erkannt aber können nicht gelöscht werden.
Ich weiss nicht was ich machen soll,hatte erst vor kurzen formatiert und will dies nicht schonwieder tun.
Ich poste mal die hijack.log, vieleicht kann mir dann jemand helfen.
Danke schonmal...
ogfile of HijackThis v1.99.0
Scan saved at 05:50:16, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\WINDOWS\d.exe
C:\DOKUME~1\Rene\LOKALE~1\Temp\Rar$EX00.828\HijackThis.exe
C:\DOKUME~1\Rene\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\netdc.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: winupdate85018101[1].exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {4E662B9B-3A07-4084-A04D-3D4F709E2D7F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {4E662B9B-3A07-4084-A04D-3D4F709E2D7F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104833742656
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254
O21 - SSODL: IntegrityChecker - {740D0464-7CDD-4D0A-9883-F9DDF373C547} - C:\WINDOWS\System32\dvduadvd.cnt
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Deepsight Extractor - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
O23 - Service: DeepSight Extractor Service for NPF03 - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorServiceNPF03.exe
O23 - Service: DeepSight Extractor Service for NPF04 - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorServiceNPF04.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe
MfG
cotty