Notepad.exe mit WIN32.Qqpass-DY[Trj] befallen?!?

#1 Hallo,

Ich hab da ein Problem meine NotePad.exe ist mit den Trojaner/Mayware oder was auch immer das ist befallen.Mein GData InternetSecurity 2007 Meldet mit das kann diese Datei aber nicht Bereinigen nur Löschen.Dann verlang Windows XP Home die CD und jedesmal wenn sie ersetzt wird durch die Orginal Datei.Kommt die Meldung nach einer Zeit wieder von Gdata.

Was ist das Für ein VIRUS/Trojaner/Mailware ?? was mach das Teil?

Wie bekomme ich das Teil los?

#2 Hallo, habe seit eben das gleiche Problem. Möglicherweise handelt es sich um eine Fehlerkennung?? Habe festgestellt, dass lt. GDATA AVK 2007 bereits meine WInXP-SP2 CD (Stand 4.8.2004!) infiziert sein soll - die läuft aber schon seit 2 Jahren auf meinem PC! Habe die Datei an GDATA geschickt.

Da ich so hektisch war, die isolierten notepad.exe zu löschen (ja, ja ...), brauch ich eine neue - WO krieg ich die ohne Infektion her?

#3 scannt die angeblich infizierte exe mal dort:

Pfad angeben und warten

http://www.virustotal.com/en/indexf.html

#4 Hatte das Problem heute auch. Nachdem der Rechner um die Mittagszeit noch normal funktioniert hat, bekam ich heute Abend gegen 17.30 Uhr auch eine Meldung von Avast Antivir, dass die notepad.exe Dateien mit genanntem Trojaner infiziert seien. Daraufhin habe ich die Dateien in Quarantäneverzeichnis verschoben.

Auf den Beitrag von Terementor hin, habe ich die Dateien eben wiederhergestellt und auf virustotal.com scannen lassen. Bei beiden Dateien (notepad.exe aus \windows und aus \windows\system32) gab es keinen Virenbefund.

Doch nur ein Fehlalarm?

#5

Zitat

ontheattack postete
Hatte das Problem heute auch. Nachdem der Rechner um die Mittagszeit noch normal funktioniert hat, bekam ich heute Abend gegen 17.30 Uhr auch eine Meldung von Avast Antivir, dass die notepad.exe Dateien mit genanntem Trojaner infiziert seien. Daraufhin habe ich die Dateien in Quarantäneverzeichnis verschoben.

Auf den Beitrag von Terementor hin, habe ich die Dateien eben wiederhergestellt und auf virustotal.com scannen lassen. Bei beiden Dateien (notepad.exe aus \windows und aus \windows\system32) gab es keinen Virenbefund.

Doch nur ein Fehlalarm?

Is ja witzig, bei mir kam die meldung heute auch, benutze ebenfalls avast, aber ich hab einfach die datein gelöscht hehe, jetz willer meine Windows CD haben
hab einfach mal mein log von hijackthis hier rein:

Logfile of HijackThis v1.99.1
Scan saved at 21:46:41, on 26.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\scvhost.exe
C:\WINDOWS\scvhost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\WINDOWS\scvhost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\scvhost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Sattei\LOKALE~1\Temp\Rar$EX12.125\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\catsrva.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159635411187
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3B7AF3F-DFBB-4CA2-8B16-781DAE1CC583} (Weed Media Activator component) - https://www.shmedlic.com/V3/Consumer/ActivatorComponent/SML.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B27215D-D10C-47FF-A485-7CBCBDBB2F34}: NameServer = 217.237.148.1,217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{41937C31-FC35-4971-8AFE-9454372BF093}: NameServer = 217.237.148.1,217.237.151.161
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe




Vg, !!

#6 Das scheind wohl so.. *komisch,komisch

Hatte 2 Notepad.exe in der Quarantäne:

Hab die datei Notepad.exe aus den verzeichnis Windows/ServicePackFiles/i386 zurück gesetzt und gescannt wie Terementor sagte.

NO VIRUS FOUND bei allen.

Genau das gleich aus den verzeichnis Windows/System32/Notepad.exe. Laut Online Scanning kein Virus oder sowas.

#7 sattei

dein Rechner ist verseucht.... du kommst auch nicht mehr in die Registry, kannst keine cmd-Dateien ausfuehren...usw...
http://virus-protect.org/artikel/dienste/wsock32sys.html
willst du gleich formatieren oder reinigen ?
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Kann jemand auch mal hier drauf schauen? Danke.


Logfile of HijackThis v1.99.1
Scan saved at 09:13:47, on 27.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avast Antivir 4\aswUpdSv.exe
D:\Programme\Avast Antivir 4\ashServ.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ABIT\ABIT uGuru\uGuru.exe
D:\Programme\DAEMON Tools\daemon.exe
D:\PROGRA~1\AVASTA~1\ashDisp.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
D:\Programme\Rainlendar\Rainlendar.exe
D:\Programme\Avast Antivir 4\ashMaiSv.exe
D:\Programme\ObjectDock\ObjectDock.exe
C:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
D:\Programme\Avast Antivir 4\ashWebSv.exe
D:\Programme\Firefox\firefox.exe
D:\Download\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [Automatisch EPSON Stylus D88 Series auf BRITTA] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P46 "Automatisch EPSON Stylus D88 Series auf BRITTA" /O21 "\\BRITTA\Epson Stylus" /M "Stylus D88"
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Automatisch EPSON Stylus D88 Series auf BRITTA] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P46 "Automatisch EPSON Stylus D88 Series auf BRITTA" /M "Stylus D88" /EF "HKCU"
O4 - Startup: Rainlendar.lnk = D:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Stardock ObjectDock.lnk = D:\Programme\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\Spiele\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\Spiele\CDPoker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://locator1.cdn.imagesrvr.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115555678500
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6067921F-4E0F-400B-9362-90290D4566B4}: NameServer = 212.185.248.116,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDED00B2-1B4D-4145-906D-3F96F07AD3C0}: NameServer = 212.185.248.116,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{6067921F-4E0F-400B-9362-90290D4566B4}: NameServer = 212.185.248.116,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{6067921F-4E0F-400B-9362-90290D4566B4}: NameServer = 212.185.248.116,194.25.2.129
O17 - HKLM\System\CS3\Services\Tcpip\..\{6067921F-4E0F-400B-9362-90290D4566B4}: NameServer = 212.185.248.116,194.25.2.129
O17 - HKLM\System\CS4\Services\Tcpip\..\{6067921F-4E0F-400B-9362-90290D4566B4}: NameServer = 212.185.248.116,194.25.2.129
O20 - Winlogon Notify: SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winetn32 - winetn32.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Avast Antivir 4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Avast Antivir 4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Avast Antivir 4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Avast Antivir 4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\DANIEL~1\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Die anderen Logfiles konnte ich nicht erstellen, da die seite virus-protect.org gerade nicht bei mir geht.

#9 Guten Morgen
Est gab ein fehler im letzten Avast update VPS 0643-5 !
http://forum.avast.com/index.php?topic=24494.0
__________
MfG Argus

#10 ontheattack

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi Sabina^^

Kann mir ned vorstellen warum mein Rechner verseucht wäre...wüsste ned wie ich mir die Viren eingefangen habe ^^ !!! Ich würde gerne Reinigen wenn es geht !!


Danke !!

#12 sattei

Troj/Ciadoor - Backdoor.Win32.Ciadoor.13
Troj/Ciadoor-G erstellt außerdem eine SYS-Datei im Windows-Systemordner mit dem Dateinamen wsock32.sys und die Datei ckl009.dat, die gerade aktualisierte Trojaner-Startinformationen enthält.

Troj/Ciadoor-K runs in the background listening on a preconfigured TCP port for connections from a remote intruder.

__________________________________________________________

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe

O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\catsrva.dll (file missing)

O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

PC neustarten

3.
Start - Ausführen - regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

___________________________________

4.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 HI Danke !!

hier die logs:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C32-5BD2

Verzeichnis von C:\

04.11.2006 15:45 0 sys.txt
04.11.2006 15:45 1.115 down.txt
04.11.2006 15:45 515 tmp.txt
04.11.2006 15:45 15.084 system.txt
04.11.2006 15:45 489 systemtemp.txt
04.11.2006 15:45 123.276 system32.txt
04.11.2006 15:40 527.892.480 hiberfil.sys
04.11.2006 15:40 792.723.456 pagefile.sys
06.08.2006 14:51 0 AdobeDebug.txt
03.08.2006 07:41 311 boot.ini
30.07.2006 17:31 2.855 ipconfig.txt
14.07.2006 23:25 140 YServer.txt
12.07.2006 19:45 6.934 avenger.txt
09.07.2006 16:53 1.483 rapport.txt
26.06.2006 15:40 59 wepkeys.txt
05.06.2006 21:25 0 regdump.arm9.txt
__________________________________________________-

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C32-5BD2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.12.2005 10:55 5.101 swflash.inf
16.11.2005 11:52 490 Medialogic.INF
26.05.2005 03:19 293 muweb.inf
17.05.2005 13:53 268.096 SML.dll
12.04.2005 14:58 77.824 PhtPkMSN.dll
11.04.2005 17:10 805 SML.osd
08.04.2005 11:28 1.367 PhtPkMSN.inf
20.01.2005 14:53 171 ampx.inf
17.11.2004 22:44 114.728 ZIntro.ocx
13.08.2004 12:53 65 desktop.ini
27.07.2004 16:48 323.584 isusweb.dll
06.04.2004 19:03 172.072 MessengerStatsPAClient.dll
29.05.2003 15:00 84.064 minesweeper.dll
29.05.2003 15:00 86.112 solitaireshowdown.dll
29.05.2003 15:00 160.864 messengerstatsclient.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
17 Datei(en) 1.516.820 Bytes
0 Verzeichnis(se), 24.199.172.096 Bytes frei
______________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C32-5BD2

Verzeichnis von C:\WINDOWS\system32

04.11.2006 15:44 399.856 perfh009.dat
04.11.2006 15:44 61.114 perfc009.dat
04.11.2006 15:44 410.916 perfh007.dat
04.11.2006 15:44 72.192 perfc007.dat
04.11.2006 15:44 954.124 PerfStringBackup.INI
04.11.2006 15:43 2.206 wpa.dbl
27.10.2006 13:14 292.888 FNTCACHE.DAT
18.10.2006 18:26 2.408 Lexmark Z42 Series ColorFine.AD2
09.10.2006 18:04 2.368 SVKP.sys
06.10.2006 22:41 3.002 CONFIG.NT
04.10.2006 21:03 9.639.336 MRT.exe
25.09.2006 16:45 666.240 aswBoot.exe
25.09.2006 16:37 90.112 AVASTSS.scr
13.09.2006 06:02 1.084.416 msxml3.dll
12.09.2006 16:51 1.245.184 msxml4.dll
04.09.2006 07:13 1.497.088 shdocvw.dll
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
21.08.2006 09:29 8.833 jupdate-1.5.0_08-b03.log
16.08.2006 12:58 100.352 6to4svc.dll
07.08.2006 20:29 15.360 BASSMOD.dll
06.08.2006 14:04 108.544 pxcpyi64.exe
06.08.2006 14:04 109.568 pxinsi64.exe
____________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C32-5BD2

Verzeichnis von C:\DOKUME~1\Sattei\LOKALE~1\Temp

04.11.2006 15:42 16.384 ~DF1628.tmp
04.11.2006 15:42 488 LVCOMSX.LOG
04.11.2006 15:42 16.384 ~DF431F.tmp
04.11.2006 15:42 16.384 ~DFA176.tmp
04.11.2006 15:42 16.384 ~DF70DA.tmp
5 Datei(en) 66.024 Bytes
0 Verzeichnis(se), 24.198.914.048 Bytes frei
________________________________________________________


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C32-5BD2

Verzeichnis von C:\WINDOWS\Temp

04.11.2006 15:43 409 WGANotify.settings
04.11.2006 15:42 0 T30DebugLogFile.txt
04.11.2006 15:41 16.384 Perflib_Perfdata_2c4.dat
04.11.2006 15:41 16.384 Perflib_Perfdata_3dc.dat
04.11.2006 15:41 255 WGAErrLog.txt
5 Datei(en) 33.432 Bytes
0 Verzeichnis(se), 24.199.176.192 Bytes frei


_________________________________________________________


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9C32-5BD2

Verzeichnis von C:\WINDOWS

04.11.2006 15:45 136.822 offlog.txt
04.11.2006 15:44 1.050.163 WindowsUpdate.log
04.11.2006 15:42 0 0.log
04.11.2006 15:42 4.448 ModemLog_Conexant D110 MDC V.9x Modem.txt
04.11.2006 15:42 159 wiadebug.log
04.11.2006 15:42 50 wiaservc.log
04.11.2006 15:41 2.048 bootstat.dat
04.11.2006 15:40 32.626 SchedLgU.Txt
04.11.2006 15:29 2.949.174 screenshot.bmp
26.10.2006 20:39 264.939 setupapi.log
26.10.2006 19:50 54.156 QTFont.qfn
26.10.2006 18:49 109 PControl.ini
26.10.2006 18:34 0 CleaningLab.INI
26.10.2006 18:34 876 win.ini
25.10.2006 20:53 116 NeroDigital.ini
25.10.2006 19:19 116.263 screenshot.jpg
25.10.2006 19:19 71.168 ijl11.dll
25.10.2006 18:22 108.336 mswinsck.ocx
25.10.2006 18:22 1.609.155 scvhost.exe
23.10.2006 13:21 1.409 QTFont.for
22.10.2006 13:23 30.099 wmsetup.log
19.10.2006 13:08 3.644 spupdsvc.log
18.10.2006 21:18 60.077 KB917734.log
16.10.2006 14:00 671.935 iis6.log
16.10.2006 14:00 115.318 ntdtcsetup.log
16.10.2006 14:00 189.009 comsetup.log
16.10.2006 14:00 30.113 ocmsn.log
16.10.2006 14:00 1.393 imsins.log
16.10.2006 14:00 26.757 tabletoc.log
16.10.2006 14:00 255.332 tsoc.log
16.10.2006 14:00 13.322 KB924191.log
16.10.2006 14:00 280.214 ocgen.log
16.10.2006 14:00 93.660 netfxocm.log
16.10.2006 14:00 38.168 MedCtrOC.log
16.10.2006 14:00 27.573 msgsocm.log
16.10.2006 14:00 548.903 FaxSetup.log
16.10.2006 14:00 188.034 msmqinst.log
16.10.2006 14:00 34.066 updspapi.log
16.10.2006 14:00 1.393 imsins.BAK
16.10.2006 14:00 13.179 KB922819.log
16.10.2006 14:00 12.354 KB923414.log
16.10.2006 13:59 14.645 KB924496.log
16.10.2006 13:59 9.668 KB923191.log
07.10.2006 14:28 115.780 Adobe PSEle2 Lang Installer.log
07.10.2006 14:24 143 Adobe PSEle2.log
02.10.2006 14:05 17.659 KB925486.log
28.09.2006 20:27 65.536 IFinst27.exe
16.09.2006 04:48 15.215 KB920685.log
16.09.2006 04:48 19.642 KB920872.log
16.09.2006 04:48 15.460 KB919007.log
16.09.2006 04:48 8.274 KB922582.log
15.09.2006 22:57 655 unins000.dat
15.09.2006 22:57 72.748 unins000.exe
13.09.2006 20:23 151 PhotoSnapViewer.INI
11.09.2006 01:44 949 ARPR.INI
24.08.2006 22:48 249.856 Setup1.exe
24.08.2006 22:48 73.216 ST6UNST.EXE
17.08.2006 22:40 15.303 WgaNotify.log
15.08.2006 00:28 17.353 KB920214.log
15.08.2006 00:28 17.348 KB922616.log
15.08.2006 00:27 17.819 KB921398.log
15.08.2006 00:27 34.934 KB918899.log
15.08.2006 00:26 13.607 KB920670.log
15.08.2006 00:26 13.767 KB917422.log
15.08.2006 00:26 14.160 KB920683.log
14.08.2006 21:48 615 eReg.dat
09.08.2006 21:57 11.776 KB921883.log
06.08.2006 14:11 755 Directx.log
06.08.2006 14:07 316.640 WMSysPr9.prx
06.08.2006 14:05 4.335 ODBCINST.INI
03.08.2006 07:41 261 SYSTEM.INI
01.08.2006 14:10 73.216 cadkasdeinst01.exe





Vg, Sattei

#14 sattei

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\scvhost.exe
C:\WINDOWS\ijl11.dll
C:\WINDOWS\mswinsck.ocx

poste die reporte
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi - jetzt mal keine Panik! G-Data hat auf meine Eilanfrage mitgeteilt, dass es sich offenbar um eine Fehlmeldung handelt:

"Vielen Dank für Ihre Anfrage. Diese Virenmeldung scheint ein Fehlalarm zu sein. Sie können die Datei „Notepad.exe“ in unserer Software unter „Optionen -> Wächter -> Ausnahmen“ als Ausnahme definieren. Wenn Sie sie versehentlich gelöscht haben, können Sie sie über „Start -> Systemsteuerung -> Software -> Windowskomponenten hinzufügen“ wieder installieren.

Sollten Sie weiterhin Probleme oder Fragen haben, steht Ihnen unser Hotline-Team gern telefonisch
zur Verfügung. Hotline 0180 / 100 06 66 (6 Cent / 90 Sek.)"