virus-scan...wie entferne ich die? :)

05.07.2005, 13:35

pivo

...neu hier

Beiträge: 2

#1 hallo. ich hab festgestellt dass auf meinem system seit einiger zeit seltsame sachen vor sich gehen. ich hatte den verdacht dass das von viren u.ä. kommen muss, also hab ich mal hijackthis geladen und gescannt. könnte mir hier jemand sagen welche viren das sind und vor allem wie ich die entferne?

hab kerio pers. firewall und antivir

Zitat

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\windows\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\windows\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Azureus\Azureus.exe
C:\Programme\Java\jre1.5.0_01\bin\javaw.exe
C:\windows\System32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SMSS] C:\WINDOWS\SYSTEM32\DRIVERS\win\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\win\iroffer\winlogo.exe C:\WINDOWS\SYSTEM32\DRIVERS\win\iroffer\ir.conf
O4 - HKLM\..\Run: [EXPLORER] C:\WINDOWS\SYSTEM32\DRIVERS\win\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\win\ftp\notepad.exe C:\WINDOWS\SYSTEM32\DRIVERS\win\ftp\SERV-U.INI
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Net SSL Client] sslocn.exe
O4 - HKLM\..\RunServices: [Value MSCONFG] msmagr.exe
O4 - HKLM\..\RunServices: [Net SSL Client] sslocn.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] D:\Spiele\Valve\Steam.exe -silent
O4 - HKCU\..\Run: [Net SSL Client] sslocn.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\windows\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\windows\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112534656244
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FFA7F1B-BDB1-4B0C-814B-3DC8E1E5FB32}: NameServer = 195.50.140.250 145.253.2.11
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

05.07.2005, 14:08

Gool

Member

Beiträge: 4730

#2 Kannst Du die seltsamen Vorgänge konkretisieren? Ansonsten weiß man nicht, wonach man suchen soll. Die HJT-Log sieht sauber aus.

Als bedenklich erscheinen mir nur folgende Einträge:

O4 - HKLM\..\Run: [SMSS] C:\WINDOWS\SYSTEM32\DRIVERS\win\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\win\iroffer\winlogo.exe C:\WINDOWS\SYSTEM32\DRIVERS\win\iroffer\ir.conf

Könnte aber auch durchaus zu dem Programm iroffer gehören. Wenn Du dieses nicht installiert hast, mal die Datei winlogo.exe bei http://www.virustotal.com/xhtml/index_en.html überprüfen lassen.

O4 - HKLM\..\Run: [Net SSL Client] sslocn.exe
O4 - HKLM\..\RunServices: [Value MSCONFG] msmagr.exe
O4 - HKLM\..\RunServices: [Net SSL Client] sslocn.exe
O4 - HKCU\..\Run: [Net SSL Client] sslocn.exe

Wenn Du nicht genau weiß, was das für Programme sind, suche danach und lasse sie ebenfalls scannen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

05.07.2005, 14:22

pivo

...neu hier

Themenstarter

Beiträge: 2

#3 also...danke erstmal für die schnelle antwort. die datei winlogo.exe findet er nciht wenn ich die bei virustotal.com scannen lassen will.

die ir.conf is laut virustotal.com sauber, obwohl ich kein iroffer (? ka was das is ) installiert habe. hab mit antivir mal scannen lassen und er hat 4 viren in den ersten paar sekunden gefunden. soll ich die log datei vllt auhc nochmal posten?

manchmal kommt von kerio ne abfrage ob die datei sslocn.exe für die internet-einwahl zugelassen werden soll. das verneine ich immer.

werd die jetzt nochmal suchen

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1