Meldung Tr/click.vb.fc.2

#0
05.07.2006, 18:04
...neu hier

Beiträge: 2
#1 Hallo zusammen,

nun hat es mich auch erwischt!
Antivir hat folgendes Trojanisches Pferd entdeckt: TR/Click.VB.FC.2
Es lässt sich weder mit Antivir, Ad-Aware noch mit Spybot entfernen.
Auch öffnet sich ein IE-Fenster in unregelmässigem Abstand und fordert mich auf ein Antivirenprogramm herunterzuladen da angeblich Viren auf meinem PC sind. Die Anzahl der "gefundenen" Viren variirert. Url lautet: http://www.winantiviruspro.com/pages/newcontent/?aid=nm_go_wavna_kw&lid=com%20nav

Hier mal mein Logfile erstellt mit HJT.
Weiss einer Rat???

Dank im Voraus.

Logfile of HijackThis v1.99.1
Scan saved at 18:45:34, on 05.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\Programme\Spyware_Blocker\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrc_2.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdc_2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://217.6.17.16/ConvisionVideo.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wfsup(wfsup) (wfsup) - Unknown owner - C:\WINDOWS\system32\wfsup.exe (file missing)
O23 - Service: Microsoft Windows Protection (Windows Protection Service) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)
Dieser Beitrag wurde am 05.07.2006 um 18:47 Uhr von laroje editiert.
Seitenanfang Seitenende
05.07.2006, 19:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2006, 19:58
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina,

anbei logs.
Schon mal danke.

datfind:
Verzeichnis von C:\WINDOWS\system32

05.07.2006 19:52 598.900 acbay.ini2
05.07.2006 19:51 3.284 ANIWZCS{80E5261E-848D-446F-A6DE-EB17A925F622}
05.07.2006 16:58 0 mcrh.tmp
04.07.2006 17:46 594.161 acbay.bak2
03.07.2006 20:48 597.198 acbay.tmp
03.07.2006 19:39 311.604 perfh009.dat
03.07.2006 19:39 39.992 perfc009.dat
03.07.2006 19:39 48.156 perfc007.dat
03.07.2006 19:39 316.594 perfh007.dat
03.07.2006 19:39 723.744 PerfStringBackup.INI
03.07.2006 18:57 2.206 wpa.dbl
02.07.2006 21:21 77 bios.rom
02.07.2006 12:01 596.025 acbay.ini
01.07.2006 10:44 595.049 acbay.bak1
01.07.2006 10:44 569.396 yabca.dll
30.06.2006 17:51 39.437 iiffeef.dll
30.06.2006 16:13 68 i
10.06.2006 19:42 57.384 avsda.dll


10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CEE-93BC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

15.11.2002 11:29 679 ConvisionVideo.inf
19.04.2004 11:36 735 default.inf
14.10.1997 19:52 697 DirectAnimation Java Classes.osd
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
03.08.2004 16:45 1.271 erma.inf
25.07.2002 18:05 172.032 isusweb.dll
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
27.01.2004 18:14 2.299 mp43dmo.inf
14.06.2004 12:11 4.022 swflash.inf
10 Datei(en) 404.081 Bytes

Anzahl der angezeigten Dateien:
10 Datei(en) 404.081 Bytes
0 Verzeichnis(se), 4.980.953.088 Bytes frei
Seitenanfang Seitenende
05.07.2006, 22:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 datfindbat hat 4 logs, ich brauche noch die restlichen drei. poste auch das erste noch einmal...bis Aptil 2006

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\


ist fuer mich:

Zitat

C:\WINDOWS\system32\acbay.ini2
C:\WINDOWS\system32\ANIWZCS{80E5261E-848D-446F-A6DE-EB17A925F622}
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\acbay.bak2
C:\WINDOWS\system32\acbay.tmp
C:\WINDOWS\system32\acbay.ini
C:\WINDOWS\system32\acbay.bak1
C:\WINDOWS\system32\yabca.dll
C:\WINDOWS\system32\iiffeef.dll
C:\WINDOWS\system32\i

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: