Virus Alert! in meine Taskleiste.

#0
31.05.2006, 19:57
Member

Beiträge: 15
#31 huhu!

ich habe leider auch das nervige problem mit dem virus alert button in der taskleiste. ich hoffe du kannst mir helfen.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Common Files\svchostsys\svchostsys.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Dokumente und Einstellungen\Pro2To\Desktop\VirusKram\HijackThis.exe

O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp100.tmp
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [sys_up1] C:\Programme\Common Files\svchostsys\svchostsys.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = ?
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137950194984
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
Seitenanfang Seitenende
31.05.2006, 20:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 Pro2To

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\Programme\Common Files\svchostsys\svchostsys.exe

berichte

---------------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2006, 20:46
Member

Beiträge: 15
#33 AntiVir 6.34.1.34 05.31.2006 no virus found
Authentium 4.93.8 05.31.2006 no virus found
Avast 4.7.844.0 05.31.2006 no virus found
AVG 386 05.31.2006 no virus found
BitDefender 7.2 05.31.2006 no virus found
CAT-QuickHeal 8.00 05.31.2006 no virus found
ClamAV devel-20060426 05.31.2006 no virus found
DrWeb 4.33 05.31.2006 Trojan.DownLoader.10155
eTrust-InoculateIT 23.72.22 05.31.2006 no virus found
eTrust-Vet 12.6.2235 05.31.2006 no virus found
Ewido 3.5 05.31.2006 Downloader.Small
Fortinet 2.77.0.0 05.31.2006 Thread!05115

F-Prot 3.16f 05.31.2006 no virus found
Ikarus 0.2.65.0 05.31.2006 no virus found
Kaspersky 4.0.2.24 05.31.2006 no virus found
McAfee 4774 05.31.2006 no virus found
Microsoft 1.1441 05.31.2006 no virus found
NOD32v2 1.1570 05.31.2006 no virus found
Norman 5.90.17 05.31.2006 W32/DLoader.ZXY
Panda 9.0.0.4 05.31.2006 Trj/Clicker.QE

Sophos 4.05.0 05.31.2006 no virus found
Symantec 8.0 05.31.2006 Downloader.Trojan
TheHacker 5.9.8.151 05.29.2006 no virus found
UNA 1.83 05.30.2006 no virus found
VBA32 3.11.0 05.31.2006 Trojan.DownLoader.10155


Aditional Information
File size: 20480 bytes
MD5: 9a3cc553fcbf76e9bacecd844baed017
SHA1: b9303479bcda6e5565dca3710d3b69146399dd68
Seitenanfang Seitenende
31.05.2006, 20:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34 Pro2To

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2006, 21:17
Member

Beiträge: 15
#35 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D44D-359F

Verzeichnis von C:\WINDOWS\system32

31.05.2006 21:13 5.044 stdole3.tlb
31.05.2006 19:03 7.168 simpole.tlb
31.05.2006 19:03 37.888 hp100.tmp
31.05.2006 19:03 26.637 ldDE2B.tmp

31.05.2006 19:02 31.440 BMXBkpCtrlState-{00000002-00000000-00000001-00001102-00000004-10031102}.rfx
31.05.2006 19:02 31.560 BMXState-{00000002-00000000-00000001-00001102-00000004-10031102}.rfx
31.05.2006 19:02 288 DVCState-{00000002-00000000-00000001-00001102-00000004-10031102}.dat
31.05.2006 19:02 1.080 settingsbkup.sfm
31.05.2006 19:02 31.560 BMXStateBkp-{00000002-00000000-00000001-00001102-00000004-10031102}.rfx
31.05.2006 19:02 31.440 BMXCtrlState-{00000002-00000000-00000001-00001102-00000004-10031102}.rfx
31.05.2006 19:02 1.080 settings.sfm
31.05.2006 19:02 288 DVCStateBkp-{00000002-00000000-00000001-00001102-00000004-10031102}.dat
31.05.2006 18:44 2.206 wpa.dbl
28.05.2006 18:22 5.274.326 UUHGKYC
28.05.2006 14:18 176.128 wfkduei.dll
28.05.2006 14:18 59.904 dcomcfg.exe
28.05.2006 14:18 11.056 atmclk.exe
28.05.2006 14:18 4.286 ot.ico
28.05.2006 14:18 4.286 ts.ico

27.05.2006 14:15 380.350 perfh009.dat
27.05.2006 14:15 52.764 perfc009.dat
27.05.2006 14:15 391.000 perfh007.dat
27.05.2006 14:15 63.580 perfc007.dat
27.05.2006 14:15 897.954 PerfStringBackup.INI
27.05.2006 14:11 51.712 w0cf5cd6.dll
26.05.2006 21:42 0 atmtd.dll.tmp
19.05.2006 22:36 69.632 hoedenno.dll
19.05.2006 22:36 33.012 tpuninstall.exe
19.05.2006 22:32 69.632 aeodjnjg.dll
16.05.2006 17:40 35.341 regperf.exe

04.05.2006 06:26 5.818.784 MRT.exe
02.05.2006 23:45 57.344 SDRunner.dll
23.04.2006 21:18 664 d3d9caps.dat
19.04.2006 22:09 778.240 divx_xx07.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D44D-359F

Verzeichnis von C:\DOKUME~1\Pro2To\LOKALE~1\Temp

31.05.2006 19:04 16.384 Perflib_Perfdata_c4c.dat
31.05.2006 19:04 16.384 Perflib_Perfdata_880.dat
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 75.841.363.968 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D44D-359F

Verzeichnis von C:\WINDOWS

31.05.2006 19:09 1.172.520 WindowsUpdate.log
31.05.2006 19:03 0 0.log
31.05.2006 19:03 159 wiadebug.log
31.05.2006 19:03 50 wiaservc.log
31.05.2006 19:02 2.048 bootstat.dat
31.05.2006 19:02 32.568 SchedLgU.Txt
31.05.2006 19:01 4.482.315 {00000002-00000000-00000001-00001102-00000004-10031102}.CDF
26.05.2006 21:41 1.635 cfg32.exe
26.05.2006 13:43 155 winamp.ini
26.05.2006 13:39 54.156 QTFont.qfn
19.05.2006 22:16 442.104 setupapi.log
16.05.2006 17:55 24.170 wmsetup.log
13.05.2006 00:43 78.149 iis6.log
13.05.2006 00:43 126.659 comsetup.log
13.05.2006 00:43 1.374 imsins.log
13.05.2006 00:43 15.385 ocmsn.log
13.05.2006 00:43 76.833 ntdtcsetup.log
13.05.2006 00:43 200.356 tsoc.log
13.05.2006 00:43 11.608 KB913580.log
13.05.2006 00:43 273.443 ocgen.log
13.05.2006 00:43 25.853 msgsocm.log
13.05.2006 00:43 503.485 FaxSetup.log
13.05.2006 00:43 31.664 updspapi.log
01.05.2006 16:38 3.209 tm.ini
01.05.2006 16:37 124 tdf.dii
25.04.2006 23:51 1.374 imsins.BAK
25.04.2006 23:51 11.129 KB900485.log
20.04.2006 18:32 163 NeroDigital.ini
14.04.2006 17:30 187.091 setupact.log
14.04.2006 17:02 30.810 spupdsvc.log
14.04.2006 13:38 14.953 KB908531.log
14.04.2006 13:38 14.198 KB911562.log
14.04.2006 13:38 16.291 KB912812.log
14.04.2006 13:37 17.677 KB911565.log
14.04.2006 13:37 10.577 KB911567.log
02.03.2006 01:53 23 MixBUda.INI
02.03.2006 01:37 479.182 ntbtlog.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D44D-359F

Verzeichnis von C:\

31.05.2006 21:16 0 sys.txt
31.05.2006 21:16 9.113 system.txt
31.05.2006 21:16 368 systemtemp.txt
31.05.2006 21:15 106.150 system32.txt
31.05.2006 21:14 901 DirDPF.txt
31.05.2006 21:14 2 DirDPFCns.txt
31.05.2006 19:02 1.610.612.736 pagefile.sys
27.05.2006 14:16 51.712 w0d43ddc.dll
02.03.2006 19:36 14 command.log
02.03.2006 01:40 839 rapport.txt

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D44D-359F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

03.06.2005 04:49 752 jinstall-1_5_0_04.inf
03.11.2005 21:24 495 LegitCheckControl.inf
30.06.2005 16:19 227 MsnMessengerSetupDownloader.inf
14.08.2005 01:26 113.664 MsnMessengerSetupDownloader.ocx
08.10.2004 16:01 372.736 MsnPUpld.dll
08.10.2004 16:13 587 MSNPupld.inf
15.10.2004 07:53 110.592 PURde-xx.dll
22.09.2004 15:59 110.592 PURen-us.dll
27.08.2005 13:30 5.065 swflash.inf
26.05.2005 05:19 291 wuweb.inf
10 Datei(en) 715.001 Bytes

Anzahl der angezeigten Dateien:
10 Datei(en) 715.001 Bytes
0 Verzeichnis(se), 75.841.363.968 Bytes frei
Seitenanfang Seitenende
31.05.2006, 21:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 Pro2To

1.
Laden und alles auf dem Desktop entpacken:

*) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken un der Registry beifuegen

------------------------------------------------------------------
2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

Zitat

C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\wfkduei.dll
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\w0cf5cd6.dll
C:\WINDOWS\system32\atmtd.dll.tmp
C:\WINDOWS\system32\hoedenno.dll
C:\WINDOWS\system32\tpuninstall.exe
C:\WINDOWS\system32\aeodjnjg.dll
C:\WINDOWS\system32\regperf.exe
C:\Programme\Common Files\svchostsys\svchostsys.exe
C:\WINDOWS\cfg32.exe
C:\w0d43ddc.dll
PC neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp100.tmp
O4 - HKCU\..\Run: [sys_up1] C:\Programme\Common Files\svchostsys\svchostsys.exe
PC neustarten

**
4.
nach dem Neustart suche: C:\!KillBox
und lösche alle dort befindlichen Dateien manuell

**
5.
loesche:
C:\Programme\Common Files\svchostsys
c:\programme\common files\simtest

http://virus-protect.org/artikel/spyware/svchostsys.html

--------------------------------------------------------------------------
6.
*) smitfraud.fix
http://virus-protect.org/artikel/tools/smitfrautfix.html

1. doppelklick smitfraudfix.cmd
2. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
3. starte den PC neu und drücke beim Hochfahren die Taste F8 und wähle "Abgesicherter Modus"
4. doppelklick smitfraudfix.cmd
5. schreibe: 2
6. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...

**
7.
boote wieder in den normalmodus und poste dieses Log vom smitfraud.fix

**
8-
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
9.
scanne mit Dr.web und poste den report
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2006, 23:51
Member

Beiträge: 15
#37 SmitFraudFix v2.21

Rapport fait à 23:41:33,81 le 31.05.2006
Executé à partir de C:\Dokumente und Einstellungen\Pro2To\Desktop\VirusKram\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\hp????.tmp supprimé
C:\WINDOWS\system32\ld????.tmp supprimé
C:\WINDOWS\system32\1024\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport
Seitenanfang Seitenende
01.06.2006, 10:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 scanne mit Dr.web und poste den report
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.06.2006, 17:45
Member

Beiträge: 15
#39 ich kann drweb leider nicht downloaden. seite kann nicht angezeigt werden, hast du eventuell noch einen anderen link ?
Seitenanfang Seitenende
01.06.2006, 18:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#40 die seite wird nicht angezeigt??? das ist eigenartig...hier erscheint sie prompt....und auf die anderen Seiten von meiner HP bist du doch auch ohne Schwierigkeiten gekommen ?
http://virus-protect.org/cureit.html

Dierekt Download:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

.............

Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren
%userprofile%\doctorweb\cureit.log
eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten.

oder:

Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.06.2006, 19:52
Member

Beiträge: 15
#41 deine seite ist auch nicht das problem ... die is schnell da ;) aber der download funktioniert nicht .. -.-
Seitenanfang Seitenende
01.06.2006, 20:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 SmitFraudFix v2.21 - ich sehe nur das 1. Log.. hast du im abgesicherten Modus Option 2 angwendet und alles auch loeschen lassen ????
---------------------------

funktioniert ...wunderbar............;)
Dierekt Download:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

---------------------------

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

oder arbeite das ab:

http://virus-protect.org/artikel/spyware/svchostsys.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: