Hilfe >tr/dldr.small.oc + Tr/dldr.inapsol + Dialer<

#0
14.01.2005, 05:49
Member

Beiträge: 11
#1 Huhu!

Mein Pc ist irgendwie voll mit Viren trotz Routerfirewall und Anti Vir ( mit täglichen Updates )

Die Viren werden zwar erkannt aber können nicht gelöscht werden.
Ich weiss nicht was ich machen soll,hatte erst vor kurzen formatiert und will dies nicht schonwieder tun.

Ich poste mal die hijack.log, vieleicht kann mir dann jemand helfen.


Danke schonmal...

ogfile of HijackThis v1.99.0
Scan saved at 05:50:16, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\WINDOWS\d.exe
C:\DOKUME~1\Rene\LOKALE~1\Temp\Rar$EX00.828\HijackThis.exe
C:\DOKUME~1\Rene\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\netdc.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: winupdate85018101[1].exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {4E662B9B-3A07-4084-A04D-3D4F709E2D7F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {4E662B9B-3A07-4084-A04D-3D4F709E2D7F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104833742656
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254
O21 - SSODL: IntegrityChecker - {740D0464-7CDD-4D0A-9883-F9DDF373C547} - C:\WINDOWS\System32\dvduadvd.cnt
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Deepsight Extractor - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
O23 - Service: DeepSight Extractor Service for NPF03 - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorServiceNPF03.exe
O23 - Service: DeepSight Extractor Service for NPF04 - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorServiceNPF04.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe




MfG
cotty
Seitenanfang Seitenende
14.01.2005, 08:55
Member

Themenstarter

Beiträge: 11
#2 Habe mir mal eScan runtergeladen da in dem einen Thread die Trojaner mit diesem Programm gelöscht werden konnten,klappte bei mir nicht.

Ich muss das Prog. angeblich kaufen damit da was gelöscht/repariert werden kann.

Hier mal der scanlog :

File C:\WINDOWS\svchost.exe infected by "Trojan-Downloader.Win32.Small.acd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\d.exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\st.exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp11.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp14.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp17.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp1A.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp1D.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp2.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp20.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp24.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp25.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp29.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp2B.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp30.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp32.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp35.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp38.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp3B.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp3F.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp40.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp44.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp45.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp48.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp4A.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp4E.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp5.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp53.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp56.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp57.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp58.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp5B.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp5F.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp64.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp67.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp6B.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp6D.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp70.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp71.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp75.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp8.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmpA.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\Temp\tmpE.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\TEMPOR~1\Content.IE5\8NXNEU7P\405[1].exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Rene\LOKALE~1\TEMPOR~1\Content.IE5\ETKFUDM5\d[2].exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken.
Seitenanfang Seitenende
14.01.2005, 09:29
Member
Avatar Malkesh

Beiträge: 669
#3 Folgende Schritte, Systemwiederherstellung deaktivieren, Windows im abgesicherten Modus starten (Bei Windows XP F8 während des Bootvorgangs drücken um im abgesicherten Modus zu starten). Infizierte Dateien, welche eScan gemeldet hat löschen
(eScan hat früher die Viren/Malware entfernt, mittlerweile scannt die Software nur noch, macht nichts, ist trotzdem noch sehr nützlich und effektiv.)

weiterhin im abgesicherten Modus:

HijackThis Einträge:
böse, und somit unbedingt fixen:
C:\WINDOWS\svchost.exe
- Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als Böse einzustufen.
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
- Prüfe deine Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org!


eventuell böse, kennst du diese Einträge?
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {4E662B9B-3A07-4084-A04D-3D4F709E2D7F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {4E662B9B-3A07-4084-A04D-3D4F709E2D7F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)


unbekannte Einträge, was kennst du davon, was nicht?
C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
C:\WINDOWS\d.exe - sieht aufgrund der Tatsache das es unbekannt ist und im Win-Ordner läuft verdächtig aus
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\netdc.exe
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe - Zusammenhang mit dem bösen Eintrag (siehe oben)
O4 - Startup: winupdate85018101[1].exe
O21 - SSODL: IntegrityChecker - {740D0464-7CDD-4D0A-9883-F9DDF373C547} - C:\WINDOWS\System32\dvduadvd.cnt
O23 - Service: Deepsight Extractor - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
O23 - Service: DeepSight Extractor Service for NPF03 - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorServiceNPF03.exe
O23 - Service: DeepSight Extractor Service for NPF04 - Unknown - C:\Programme\Symantec\DeepSight Extractor\ExtractorServiceNPF04.exe

alternativ kannst du das ganze auch nochmal übersichtlicher aufgelistet haben:
http://www.hijackthis.de/
Und zwar indem du hier dein Log reinkopierst und automatisch auswerten lässt (Ich bin nämlich kein HijackThis-Pro, das überlasse ich den Experten wie Sabina ^^).
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
14.01.2005, 11:35
Member

Themenstarter

Beiträge: 11
#4 Hab das gemacht und dann nochmal mit anti vir gescannt,immer noch die gleichen `Viren,hab den Scan dann abgebrochen.. ;)


Erstellungsdatum der Reportdatei: Freitag, 14. Januar 2005 11:31

AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004
VDF-Datei v6.29.0.61 (0) vom 13.01.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 95473 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

EMail ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: Rene
Prozessor: Pentium
Arbeitsspeicher: 785904 KB frei

Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58
AVEWIN32.DLL : v6.29.0.7 791040 14.01.2005 05:33:38
AVGNT.EXE : v6.28.00.02 127016 08.11.2004 08:12:44
AVGUARD.EXE : v6.29.00.03 241704 17.11.2004 14:44:04
GUARDMSG.DLL : v6.28.00.02 98344 30.09.2004 08:10:44
AVGCMSG.DLL : v6.28.00.02 266280 08.11.2004 08:12:44
AVGNTDD.SYS : v6.29.00.02 32560 10.12.2004 12:46:28
AVPACK32.DLL : v6, 28, 0, 4 303144 28.10.2004 10:37:46
AVGETVER.DLL : v6.22.00.00 24576 30.09.2004 08:10:40
AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58
AVSHLEXT.DLL : v6.22.00.00 57344 30.09.2004 08:10:42
AVSched32.EXE : v6.29.00.00 110632 19.11.2004 12:04:14
AVSched32.DLL : v6.28.00.01 122880 30.09.2004 08:10:42
AVREG.DLL : v6.27.00.01 41000 30.09.2004 08:10:42
AVRep.DLL : v6.29.00.56 860200 14.01.2005 05:33:38
INETUPD.EXE : v6.29.00.02 262203 23.11.2004 12:51:52
INETUPD.DLL : v6.29.00.02 159815 23.11.2004 12:51:52
CTL3D32.DLL : v2.31.000 27136 18.08.2001 20:00:00
MFC42.DLL : v6.02.4131.0 1028096 04.08.2004 00:57:24
MSVCRT.DLL : v7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : v7.0.2600.2180 343040 04.08.2004 00:57:30
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Rene\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: hoch

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: CDRom
E: CDRom

Start des Suchlaufs: Freitag, 14. Januar 2005 11:31

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\LocalService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Rene
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Rene\Desktop\backups
backup-20050114-112600-112-netdb.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OC
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp
Perflib_Perfdata_58c.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DF891A.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1GGZ1L09
d[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OC
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTW7WRO3
405[1].exe
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/301177 (Dialer)
WURDE GELÖSCHT!
C:\Programme\AVPersonal\INFECTED
netdc.VIR
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OC
WURDE GELÖSCHT!

Suchvorgang wurde vom Benutzer abgebrochen!

Ende des Suchlaufs: Freitag, 14. Januar 2005 11:35
Benötigte Zeit: 04:24 min


942 Verzeichnisse wurden durchsucht
7841 Dateien wurden geprüft
15 Warnungen wurden ausgegeben
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Viren bzw. unerwünschte Programme wurden gefunden
Seitenanfang Seitenende
14.01.2005, 11:57
Member
Avatar Malkesh

Beiträge: 669
#5 Noch einmal:

zu den oben genannten HijackThis Einträgen, welche davon sind dir bekannt, welche nicht?

Hast du überhaupt mit eScan gescannt? (Wo ist das log mit den Viren-Einträgen? -> Suche nach "infected" -> gefundene Zeilen hier posten) Und bitte keine Scans abbrechen sondern bis zum Ende durchscannen lassen.

Warst du während der ganzen Prozedur im abgesicherten Modus? War die Systemwiederherstellung wirklich deaktiviert? Hast du deine temporären Dateien (Internet und Windows) gelöscht?
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
14.01.2005, 15:37
Member

Themenstarter

Beiträge: 11
#6 Von den HijackThis Einträgen sind mir alle bekannt.

Systemwiederherstellung ist deaktiviert.

War die ganze Zeit im abgesicherten Modus.


Escan log :

Fri Jan 14 08:47:13 2005 => File C:\WINDOWS\svchost.exe infected by "Trojan-Downloader.Win32.Small.acd" Virus. Action Taken: No Action Taken.

C:\WINDOWS\d.exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken.

C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken.

C:\WINDOWS\st.exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken.


C:\DOKUME~1\Rene\LOKALE~1\Temp\tmp14.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. <---
über 40 temp datein sind verseucht mit diesem Trojaner,wie lösch ich die? Hab im abgesichertenn Modus unter IE Einstellungen alle Temporären Internet datein und cookies gelöscht,trotzdem wird angezigt das die temp datein mit einem Trojaner infiziert sind)

C:\DOKUME~1\Rene\LOKALE~1\TEMPOR~1\Content.IE5\ETKFUDM5\d[2].exe infected by "TrojanDownloader.Win32.Small.oc" Virus. Action Taken: No Action Taken.

i Jan 14 08:51:32 2005 => File C:\DOKUME~1\Rene\LOKALE~1\TEMPOR~1\Content.IE5\8NXNEU7P\405[1].exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: No Action Taken.DIALER?!?!?!


Ich versteh nich wie das überhaupt auf meinen Pc gelangen konnte,ich hab anti vir und schaue jeden Tag nach Updates,taugt das Prog. nichts?
Dieser Beitrag wurde am 14.01.2005 um 15:41 Uhr von cotty editiert.
Seitenanfang Seitenende
14.01.2005, 16:02
Member
Avatar Malkesh

Beiträge: 669
#7 Eins vornweg, es gibt bei diesem Thema nie eine 100% Sicherheit, die hast du nur wenn du den Stecker ziehst. So ist das leider.

Ein Dialer kann dir übrigens eigentlich nur gefährlich werden, wenn du dich über ein Modem in das Internet einwählst (DSL-Benutzer sind davor z.B. gefeit).

Im abgesicherten Modus die von eScan als infiziert erkannten Dateien löschen.

Zu den temp-Dateien: Windows-Explorer:
Extras -> Ordneroptionen -> Ansicht
[ ] Geschützte Systemdateien ausblenden (empfohlen) <-- Wenn hier ein Haken ist, Haken weg machen, also die Dateien anzeigen lassen.
( ) Versteckte Dateien und Ordner ausblenden <-- umstellen zu:
(X) Alle Dateien und Ordner anzeigen

Danach nochmal die temporären Ordner durchsuchen.
C:\Temp
C:\Windows\Temp
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\

http://www.clearprog.de/downloads.php
nützliches Tool um viele Spuren deines Browsers zu beseitigen (Cookies, Verlauf, Temp-Dateien, etc.)

Falls nicht schon geschehen: (aufgrund der eScan Ergebnise gehe ich nicht davon aus)
weiterhin im abgesicherten Modus:
HijackThis Einträge:
böse, und somit unbedingt fixen:
C:\WINDOWS\svchost.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing

Danach bitte ein neues HijackThis-Log posten.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
14.01.2005, 17:46
Member

Themenstarter

Beiträge: 11
#8 Hab alles gemacht wie du gesagt hast. Hier das HijackThis-Log :


Logfile of HijackThis v1.99.0
Scan saved at 17:46:38, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Rene\Desktop\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104833742656
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe
Seitenanfang Seitenende
14.01.2005, 18:50
Member
Avatar Malkesh

Beiträge: 669
#9 So, sieht ja schonmal besser aus als vorhin hab ich das Gefühl. Allerdings immer noch nicht ganz sauber.

Wieder alles aufgeführte im abgesicherten Modus:
Fixe mal:
F2 - REG:system.ini: Shell=explorer.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing

Danach noch einmal scannen (alle 3 Tools), und ein log. Wenn dann alles sauber ist haben wir's hoffentlich überstanden. Entschuldige das es so viele Anläufe braucht. ;)
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
14.01.2005, 23:22
...neu hier

Beiträge: 1
#10 Darf ich mich hier mal mit einklinken ??

Ich habe das selbe problem hier mal mein Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 23:15:43, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
D:\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\notepad.exe
D:\Avant Browser\iexplore.exe
D:\Avant Browser\aHTTP.exe
C:\WINDOWS\system32\NOTEPAD.EXE
G:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Symbolleis&te - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1116ff6a4d912eea6d05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094411933859
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D498325-3332-4686-99D5-946152C0E1D7}: NameServer = 81.173.194.68 194.8.194.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBA4C0BA-0C6D-42C7-A4D2-2E8B70C42AAF}: NameServer = 192.168.168.254
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: VMware Authorization Service - Unknown - D:\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - Unknown - C:\WINDOWS\System32\vmnat.exe
Seitenanfang Seitenende
14.01.2005, 23:28
Member
Avatar Malkesh

Beiträge: 669
#11 Hallo Mavogame,

dann leg mal los, AdAware, Spybot S&D sowie eScan im abgesicherten Modus drüber rennen lassen. Wenn eScan etwas findet: Log speichern -> mit Editor öffnen -> nach "infected" suchen -> betroffene Zeilen komplett posten (Datei, kompletter Pfad, Art der Infektion)

Ferner mit HijackThis diese Einträge fixen:
C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe

Nach dem Prozedere ein neues Log posten ;)
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 14.01.2005 um 23:28 Uhr von Malkesh editiert.
Seitenanfang Seitenende
15.01.2005, 07:41
Member

Themenstarter

Beiträge: 11
#12 Habe mit Anti Vir gescannt, 0 Viren gefunden.

Habe mit eScan gescannt, 0 Viren gefunden

Hier noch der HyjackThis Log

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing<---- Das is nix böses,gehört zu xfire weil das manhcmal down geht,is halt nur ne beta version
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104833742656
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe


Vielen Danke Malkesh ;)
Dieser Beitrag wurde am 15.01.2005 um 07:41 Uhr von cotty editiert.
Seitenanfang Seitenende
15.01.2005, 10:27
Member

Themenstarter

Beiträge: 11
#13 Andere Frage : Wie konnten die Viren überhaupt auf den Rechner rauf wenn Anti Vir (Immer auf dem neuesten Stand ) rund um die Uhr lief?
Seitenanfang Seitenende
15.01.2005, 11:50
Member
Avatar Malkesh

Beiträge: 669
#14 Das log ist leider nicht vollständig, außerdem, was ist mit AdAware und Spybot S&D. Waren deren Ergebnisse ebenfalls positiv?

Zu deinem log-Eintrag:
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing <- deutet normalerweise auf einen Hijacker hin

Zu deiner Frage: es gibt mit keinem Scanner/Firewall/Proxy/was auch immer eine 100% Sicherheit im Internet, dessen muss man sich immer bewusst sein. Jeden Tag werden neue Viren entdeckt, aber es dauert eben bis sich die Virenscanner daran anpassen können. Außerdem ist kein einziges Programm bugfrei. Deshalb wird bei akuten Problemen oftmals mit mehreren verschiedenen Scannern getestet was los ist. Der eine übersieht vielleicht was, was der andere dann findet. Doch selbst das gibt keine 100% Sicherheit. Aber bevor du nun auf die Idee kommst mehrere Scanner gleichzeitig laufen zu lassen: lass es, Echtzeitscans von Virenscannern behindern sich gegenseitig wenn sie gleichzeitig laufen.
100% Sicherheit erreicht man nur indem man den Stecker zieht. Doch ebenfalls ein guter Schutz ist es umsichtig und vorsichtig im Internet zu sein, aufpassen was man runterläd, welche Seiten man ansurft etc. - Damit kann man meistens schon ungemein viel erreichen (das soll dir jetzt aber nicht unterstellen das du nicht aufgepasst hast). Ebenfalls gewinnt man schon viel Sicherheit wenn man einen anderen Browser als den Internet Explorer benutzt (z.B Firefox, Opera ...) und sich nicht mit Administratorrechten anmeldet wenn man sie nicht braucht (zum surfen sind sie unnötig, da kann man ein eingeschränktes Konto verwenden).
Das sind so die kleinen Dinge die sich summieren, so das man vielleicht wenigstens eine 99% Sicherheit erreicht.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
15.01.2005, 12:15
Member

Themenstarter

Beiträge: 11
#15 Ok hier nochmal der ganze,dachte das oben is nich so wichtig.


Logfile of HijackThis v1.99.0
Scan saved at 07:40:10, on 15.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\DC++\DCPlusPlus.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Rene\Desktop\eScan\mwavscan.com
C:\Dokumente und Einstellungen\Rene\Desktop\eScan\kavss.exe
C:\Dokumente und Einstellungen\Rene\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104833742656
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{82EC0869-76BA-4377-9C7F-541A0585E551}: NameServer = 192.168.1.254
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: