Was für ein Virus und wie krieg ich Ihn weg?

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.07.2006, 03:06
Member

Themenstarter

Beiträge: 54
#46 C:\Programme\Desktop Messenger\8876480\Users\Stromi\

Weisss au nicht, was das ist.Hab es jetzt einfach gelöscht.Ging aber nur im abgesicherten Zustand und dann auch nur über den abgesicherten meiner Kids ;)

Alle anderen Dateien, die Du mir genannt hast, hab ich auch gelöscht.

C:\WINDOWS\bhrax1.dll die verschi**** Datei finde ich nicht.Die wurde ja in den avernger ordner gebracht, aber sie ist nicht sichtbar, wenn ich den Ordner löschen will sagt er mir immer, das der Ordner nicht leer ist und er nicht gelöscht werden kann.


Wenn ich über Systemeinstellungen auf Software gehe, dann steht da Linkoptimizer.Weiss gar nicht, was das ist.
Hab versucht es zu deinstallieren, aber dann öffnet sich immer ein Browserfenster vom Explorer und wenn ich online bin, dann steht da nur ein Knopf mit Uninstall und als nächstes kommt sofort Thank you.Bin dann sofort offline gegangen, weil mir das nicht geheuer war.

Steht jetzt aber immer noch drin.

Logfile of HijackThis v1.99.1
Scan saved at 03:00:02, on 13.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Exedateien\hijackthis\HijackThis.exe

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm
O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 85.255.113.107 85.255.112.121
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hab im abgesicherten Zustand auch 017 nicht gehabt und nu ist er plötzlich wieder da.Hab´s gefixt und hier nun der neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 03:04:43, on 13.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\system32\cidaemon.exe
E:\Exedateien\hijackthis\HijackThis.exe

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm
O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Was ist das denn???

O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Kenn ich gar nicht???!!!
Seitenanfang Seitenende
13.07.2006, 03:09
Member

Themenstarter

Beiträge: 54
#47 Ach so und in C:\Windows\Temp hab ich schon wieder was drin.
Ist das normal?
Seitenanfang Seitenende
13.07.2006, 12:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 1.
O23 - Service: MWAgent ist -> escan

Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "MWAgent" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"MWAgent " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " MWAgent" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

-------------------------------------------------------------------

fixe mit dem hijackThis:

O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

-------------------------------------------------------------------

3.
Avenger

Zitat

Files to delete:
C:\AVENGER\BHRAX1.DLL
C:\WINDOWS\bhrax1.dll
C:\Programme\Gemeinsame Dateien\System\Gjn.exe
C:\Programme\Gemeinsame Dateien\System\KNk.exe
C:\Programme\Gemeinsame Dateien\System\LLDlXM.exe
C:\Programme\Gemeinsame Dateien\System\qoE.exe
C:\Programme\Gemeinsame Dateien\System\Rgbt.exe
C:\Programme\Gemeinsame Dateien\System\wFd.exe
C:\Programme\Gemeinsame Dateien\System\XsU.exe
C:\Programme\LinkOptimizer\LinkOptimizer.dll
gruene Ampel, PC neustarten, poste den report

4.
loesche: C:\Programme\Gemeinsame Dateien\MicroWorld (ist der escan, du brauchst es nicht mehr)

5.
multiavtool
http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 -> dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.07.2006, 15:47
Member

Themenstarter

Beiträge: 54
#49 Hab nur den zweiten Report, da ich beim ersten Mal alles hab durchlaufen lassen und vergessen hab den Report abzuspeichern.

07/13/2006 14:24:58


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\*.*
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ANNO 1503\ANNO 1503 Online spielen mit GameSpy Arcade.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\Programme\ICQToolbar\toolbaru.inf ... Found potentially unwanted program Adware-Softomate.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 68045
Clean: ................. 68017
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 2
Non-critical Error(s): 1


Time: 00:33.44

07/13/2006 15:06:42


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 19980
Clean: ................. 19970
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:17.35

07/13/2006 15:27:19


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 8070
Clean: ................. 8060
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1
Seitenanfang Seitenende
13.07.2006, 16:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 poste mal den report vom avenger, damit ich weiss, was noch auf dem rechner ist /nicht mehr ist

+
noch mal das log vom hijackThis (es reicht der 017-Eintrag)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 03:06
Member

Themenstarter

Beiträge: 54
#51 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\isoyqphd

*******************

Script file located at: \??\C:\WINDOWS\system32\rnrxvyka.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\AVENGER\BHRAX1.DLL not found!
Deletion of file C:\AVENGER\BHRAX1.DLL failed!

Could not process line:
C:\AVENGER\BHRAX1.DLL
Status: 0xc0000034

File C:\WINDOWS\bhrax1.dll deleted successfully.


File C:\Programme\Gemeinsame Dateien\System\Gjn.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\System\Gjn.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\System\Gjn.exe
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\System\KNk.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\System\KNk.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\System\KNk.exe
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\System\LLDlXM.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\System\LLDlXM.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\System\LLDlXM.exe
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\System\qoE.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\System\qoE.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\System\qoE.exe
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\System\Rgbt.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\System\Rgbt.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\System\Rgbt.exe
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\System\wFd.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\System\wFd.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\System\wFd.exe
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\System\XsU.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\System\XsU.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\System\XsU.exe
Status: 0xc0000034



Could not open file C:\Programme\LinkOptimizer\LinkOptimizer.dll for deletion
Deletion of file C:\Programme\LinkOptimizer\LinkOptimizer.dll failed!

Could not process line:
C:\Programme\LinkOptimizer\LinkOptimizer.dll
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

Logfile of HijackThis v1.99.1
Scan saved at 03:05:41, on 14.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\system32\Notepad.exe
E:\Exedateien\hijackthis\HijackThis.exe

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [PcSync] E:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hattrick Organizer Extension support - E:\Programme\HO\lineups\support.htm
O8 - Extra context menu item: Hattrick Organizer Lineups - E:\Programme\HO\lineups\hoe.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra 'Tools' menuitem: Hattrick Organizer - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\Programme\HO\lineups\hoe.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 85.255.113.107 85.255.112.121
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Seitenanfang Seitenende
14.07.2006, 13:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 File C:\WINDOWS\bhrax1.dll deleted successfully.
hatte sich also wieder neu erstelllt....

und der 017-Eintrag ist auch wieder da.

gehe also in die Registry, bearbeiten - suchen - {B305CE29-8C9C-407F-92AF-5623C559D3EB}

loesche alles, raus, was du findest, fixe mit hijackTHis den 017-Eintrag, starte den Rechner neu und poste das neue Log vom HijackThis...uff. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2006, 14:24
Member

Themenstarter

Beiträge: 54
#53 Du wirst es nicht glaube, vorhin habe ich "just for fun" Hijackthis laufen lassen, da war der 017 Eintrag nicht mehr da, sehr merkwürdig oder.

Äh, wie komme ich denn in die Registry?
Seitenanfang Seitenende
14.07.2006, 14:26
Member

Themenstarter

Beiträge: 54
#54 Und sobald ich online bin ist er wieder da.

Ich glaub, das nervt Dich ohne Ende, sorry dafür.;)
Dieser Beitrag wurde am 14.07.2006 um 14:31 Uhr von Jean-Luc editiert.
Seitenanfang Seitenende
14.07.2006, 14:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#55 Start - Ausfuehren - regedit
bearbeiten - suchen - {B305CE29-8C9C-407F-92AF-5623C559D3EB}

(mich nervt, dass wir den Downloader nicht erwischen und sich die verdammte dll immer neu erstellt) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2006, 01:32
Member

Themenstarter

Beiträge: 54
#56 So, Fehler gemacht, eine Datei gefixt, die dafür zuständig war, damit ich ins Internet komme.Habe nun C./windows gelöscht und einfach neu aufgespielt.

Hoffe, der Virus ist nu wech.Poste aber nochmal den Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 01:28:26, on 16.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
E:\Program\Crazy Browser\Crazy Browser.exe
E:\Exedateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://blank/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender8\\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender8\\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Program\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6D23FB8-9545-4956-B6FC-2A733D750C3D}: NameServer = 62.220.18.8 62.72.64.241
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Der 017 Eintrag ist wieder da, aber diesmal mit einer anderen Servernummer, allerdings kommt der nur, wenn ich online bin.

J-L
Seitenanfang Seitenende
16.07.2006, 20:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#57 Juhhuuuuuuuu ;)
geschafft ! uff...wieviele Seiten waren das ? 4 oder 5 ????

NameServer = 62.220.18.8 62.72.64.241
Name: Citykom muenster GmbH

-------------------------------------------------------------

und nicht mehr die Umleitung:

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2006, 21:24
Member

Themenstarter

Beiträge: 54
#58 Na, dann freu ich mich jetzt auch mal ;)

Das ganze hätten wir uns dann ja sparen können, wenn ich sofort XP drübergebügelt hätte*koppschüttel ;)

Trotzdem 1000 Dank für Deine bereitwillige Hilfe.

Vielleicht haste ja noch eine Erklärung für mich, was dieser Virus bewirkt?Und was nutzt es, wenn dieser über die Ukraine läuft???

MfG und einen dicken Dankekuss

Jean-Luc
Seitenanfang Seitenende