wie lösche ich gefundene viren ?

#0
20.04.2006, 12:42
...neu hier

Beiträge: 3
#1 Guten Tag zusammen !

(mein virus scanner ist kaspery anti-virus personal(original))
Also ich habe 2 Dateien die mein Viren-scanner jedesmal findet die lauten :

Interf.tlb (die ich nicht mehr finde der virenscanner dafür schon)
und eine hp...tmp datei (habe ich alle gelöscht die der scanner gefunden hat aber
eine taucht immer wieder auf alle die mit "hp" anfangen)

habe versucht beide zu löschen aber sie tauchen jedesmal wieder auf wenn ich scanne

Ich war auch schon im Abgesicherten Modus um sie zu löschen, die "hp" datei habe ich gelöscht sie taucht aber wieder auf und die Interf.tlb Datei finde ich nicht mal ;)

Also was für eine Möglichkeit habe ich sie zu löschen ?
Seitenanfang Seitenende
20.04.2006, 13:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 MDF-fabian

SpywareQuaker....das loesen wir schnell ;)

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis -->
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.04.2006, 16:10
...neu hier

Themenstarter

Beiträge: 3
#3 Logfile of HijackThis v1.99.1
Scan saved at 16:14:59, on 20.04.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\fabian\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - C:\WINDOWS\System32\hp515D.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NWEReboot] D:\Neuer Ordner\Nero\Uninstall\Unnero.exe /REMOVE="C:\DOKUME~1\fabian\LOKALE~1\Temp\RarSFX0" /REGISTER="D:\Neuer Ordner\NWE_reg.txt"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programme\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] D:\Programme\\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A73757D7-0E31-43F4-AAB2-0748FD31759A}: NameServer = 217.73.152.4,213.157.16.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED461ED2-8F45-4A46-A5E0-FC31FA86C555}: NameServer = 217.73.152.4,213.157.16.4
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Anti-Virus Personal\kavsvc.exe


1

Verzeichnis von C:\WINDOWS\system32

20.04.2006 15:47 9.216 interf.tlb
20.04.2006 15:47 5.004 ncompat.tlb
20.04.2006 15:47 64.512 hp515D.tmp
20.04.2006 15:47 17.268 nvctrl.exe
20.04.2006 15:45 41.485 ld97F5.tmp
19.04.2006 21:47 20.744 ikhcore.log
17.04.2006 18:22 4.286 ts.ico
17.04.2006 18:22 4.286 ot.ico
17.04.2006 18:20 15.681 dfrgsrv.exe

16.04.2006 22:02 2.184 wpa.dbl
16.04.2006 11:10 774 jupdate-1.5.0_06-b05.log
11.04.2006 18:08 39.992 perfc009.dat
11.04.2006 18:08 311.604 perfh009.dat
11.04.2006 18:08 316.594 perfh007.dat
11.04.2006 18:08 48.156 perfc007.dat
11.04.2006 18:08 723.744 PerfStringBackup.INI
11.04.2006 17:51 23.392 nscompat.tlb
11.04.2006 17:51 16.832 amcompat.tlb
08.04.2006 21:45 3.778 qtplugin.log
08.04.2006 21:30 22 ati64hlp.stb


2

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC14-8F4D

Verzeichnis von C:\DOKUME~1\fabian\LOKALE~1\Temp

20.04.2006 16:04 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}14959.html
20.04.2006 16:04 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}28629.html
20.04.2006 16:04 16.384 ~DFB90A.tmp
20.04.2006 16:04 16.384 ~DF332E.tmp
20.04.2006 16:04 512 ~DF333F.tmp
20.04.2006 12:58 73.276 ~e5.0001
20.04.2006 11:08 16.384 ~DFA99F.tmp
20.04.2006 11:08 16.384 ~DF1748.tmp
20.04.2006 10:06 32.768 ~DF8A7.tmp
20.04.2006 10:03 16.384 ~DF7882.tmp
19.04.2006 22:57 16.384 ~DF517F.tmp
19.04.2006 22:57 16.384 ~DF45CD.tmp
19.04.2006 21:00 16.384 ~DF81A7.tmp
19.04.2006 21:00 16.384 ~DFFF0C.tmp
19.04.2006 15:23 16.384 ~DF5A75.tmp
19.04.2006 15:23 16.384 ~DFB81C.tmp
19.04.2006 15:18 230 _isdelet.ini
19.04.2006 14:54 16.384 ~DF9FE2.tmp
19.04.2006 14:54 16.384 ~DFA007.tmp
19.04.2006 14:54 16.384 ~DF9FBD.tmp
19.04.2006 14:54 16.384 ~DF9F98.tmp
19.04.2006 14:52 16.384 ~DF9594.tmp
19.04.2006 14:52 16.384 ~DF8D4C.tmp
19.04.2006 12:01 2.992.101 sa14.exe
19.04.2006 11:39 50.584 font.ttf
19.04.2006 11:21 2.992.101 saC.exe
19.04.2006 10:01 2.992.101 sa9.exe
18.04.2006 20:45 2.992.101 sa1D.exe

18.04.2006 19:15 16.384 ~DFA380.tmp
18.04.2006 19:15 16.384 ~DF9AFC.tmp
18.04.2006 19:15 512 ~DF9B0D.tmp
17.04.2006 23:09 462 MSIb2f01.LOG
...
...
21.01.1999 14:40 9.728 GLF12.tmp
21.01.1999 14:40 9.728 GLF10.tmp
171 Datei(en) 24.182.185 Bytes
0 Verzeichnis(se), 1.437.085.696 Bytes frei

3

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC14-8F4D

Verzeichnis von C:\WINDOWS

20.04.2006 15:55 754 WORDPAD.INI
20.04.2006 15:45 571.521 WindowsUpdate.log
20.04.2006 15:44 0 0.log
20.04.2006 15:44 159 wiadebug.log
20.04.2006 15:44 50 wiaservc.log
20.04.2006 15:43 2.048 bootstat.dat
20.04.2006 13:50 685.072 ntbtlog.txt
20.04.2006 13:46 32.494 SchedLgU.Txt
19.04.2006 22:15 116 NeroDigital.ini
19.04.2006 21:41 3.134 mozver.dat
19.04.2006 15:17 157.944 DirectX.log
19.04.2006 15:17 515.850 setupapi.log
17.04.2006 14:58 725 win.tmp
17.04.2006 14:58 725 win.ini
17.04.2006 14:15 16.416 Windows Update.log
11.04.2006 18:09 94.990 wmsetup.log
11.04.2006 17:52 234 wmsetup10.log
11.04.2006 17:51 316.640 WMSysPr9.prx

4
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC14-8F4D

Verzeichnis von C:\

20.04.2006 16:10 0 sys.txt
20.04.2006 16:10 4.870 system.txt
20.04.2006 16:10 8.642 systemtemp.txt
20.04.2006 16:09 93.055 system32.txt
20.04.2006 15:43 2.013.265.920 pagefile.sys
18.04.2006 18:19 720 lop.txt
17.04.2006 18:52 37 findlop.txt
17.04.2006 14:31 8.331 DDCheck.txt
17.04.2006 14:17 1.383 Prodinfo.txt
17.04.2006 14:12 23.024 hcwclear.txt
09.04.2006 08:55 32 ALCSetup.log
08.04.2006 21:27 26.359 Installer.log
08.04.2006 21:27 90 LogiSetup.log
08.04.2006 21:25 19.474 MSIInstall.log
08.04.2006 21:25 0 Debug.QC6
08.04.2006 19:23 0 MSDOS.SYS
08.04.2006 19:23 0 AUTOEXEC.BAT
08.04.2006 19:23 0 CONFIG.SYS
08.04.2006 19:23 0 IO.SYS
08.04.2006 19:16 194 boot.ini
18.08.2001 14:00 4.952 bootfont.bin
18.08.2001 14:00 224.032 ntldr
18.08.2001 14:00 45.124 NTDETECT.COM
23 Datei(en) 2.013.726.239 Bytes
0 Verzeichnis(se), 1.437.089.792 Bytes frei
Dieser Beitrag wurde am 20.04.2006 um 16:16 Uhr von MDF-fabian editiert.
Seitenanfang Seitenende
20.04.2006, 16:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 MDF-fabian

arbeite das ganz genau ab (vor allem CleanUp anwenden, denn das hast du nicht gemacht, obwohl ich es geschrieben hatte)
... und das Loeschen der temporaeren Dateien ist sehr wichtig !!!

http://virus-protect.org/artikel/spyware/spywarequake.html

Punkt 4 (Killbox)

C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\ncompat.tlb
C:\DOKUME~1\fabian\LOKALE~1\Temp\sa14.exe
C:\DOKUME~1\fabian\LOKALE~1\Temp\font.ttf
C:\DOKUME~1\fabian\LOKALE~1\Temp\saC.exe
C:\DOKUME~1\fabian\LOKALE~1\Temp\sa9.exe
C:\DOKUME~1\fabian\LOKALE~1\Temp\sa1D.exe
C:\WINDOWS\system32\hp515D.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\ld97F5.tmp
C:\WINDOWS\system32\ikhcore.log
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\dfrgsrv.exe

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.04.2006, 09:43
...neu hier

Themenstarter

Beiträge: 3
#5 Also mit dem cleanup habe ich ein Problem es kommt immer die Meldung : "CleanUp has detectet one or more browsers running.
Das Problem ist das ich meinen Kaspery antivir scanner ausgemacht habe und nicht weiß woran es liegen könnte, ansonsten habe ich die Angegebenen files mit der killbox gelöscht.
was vielleicht noch zu erwähnen währe, nachdem ich meine Internet.Browser sprich Mozilla firefox und Internet.explorer komplett gelöscht und neuinstalliert habe kam das popup nicht wieder (kann aber auch sein das mein antivir die schon vorher gelöscht hat)

Desweiteren habe ich keine Popups oder sonstige Fehlermeldungen ;)

Dankeschön so weit...
Seitenanfang Seitenende
22.04.2006, 15:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 wende CleanUp im abgesicherten Modus an...ohne Internetverbindung.
Dann solltest du auch alle Tools abarbeiten, die auf der Seite angefuehrt sind.
http://virus-protect.org/artikel/spyware/spywarequake.html

es reicht nicht, die Browser neu zu installieren,
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: