WinAntiVir PopUp nervt extrem Bitte um Infos!!!

#1 Hallo Leute,

bin neu hier und brauche eure Hilfe...
Habe seit gestern einen Popup von Winantivir auf meinem Computer, einmal ist unten rechts in der Taskleiste ein gelbes Dreieck mit einem Ausrufezeichen drin, dass wenn man drauf kommt, mir anzeigt, ich hätte angeblich SpyWare Programme...
Wenn man es wegdrücken will, get nicht, dann kommt mam auf irgendeine Internetseite.
Desweiteren kommt etwa alle 10 Minuten ein PopUp dass ebenfalls meint, dass ich mit Spyware infiziert bin und dass jemand meinen Computer nach daten durchsucht, und noch ein anderes, dass meint ich sollte mir irgendwas von WinAntiVir zulegen, was ich bis jetzt unterlassen habe!

Hab mal meinen Computer durchgesehen, und habe unter C:WINDOWS/system32/winavxx das "kleine gelbe Dreieck mit dem Ausrufezeichen wiedergefunden, das sich mit Gewalt NICHT LÖSCHEN LÄßT!!!

Habe auch schon massig der hier im Forum empfohlenen Anti Virus Programme gechekt, die fanden zwar was, was ich auch gelöscht habe, doch dass hat alles nichts genützt!

Wäre superklasse wenn mir jemand hilft, da ich wenig Anhung mit PCs hab, und mich das wahnsinnig macht!!!

Danke im Voraus für Antworten
Gruß David

#2 Hi,

rogueremover laufen lassen
http://www.malwarebytes.org/rogueremover.php

Danach Berichte (Log posten) und gehe wie folgt vor:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Chris

#3 Hallo,

danke erstmal für die antwort... habe das programm runtergeladen, aber hat gesagt alles wäre ok... Wie erstellt man eine hijak logfile?

Und das Programm war schon nach 2sec. fertig mit suchen, ist das normal?

Bitte um Hilfe!!!

Hab mal nen druck gemacht von dem programm, ob das richtig ist, versuch ihn hier rein zu stellen, mal sehen obs klappt

#4 Hi,

folge dem oben angegebenen Link (http://board.protecus.de/t23188.htm), dort findest Du auch eine Beschreibung
(Schade, wäre auch zu einfach gewesen...),

Chris

#5 hier die ergebnisse:

1.
Temporaere Dateien beseitigen


Starte das Programm ATF cleaner, hake "Select All" an und druecke "Empty Selected". Das selbe kann man ueber die Reiter Firefox und Opera machen, sofern man diese Programme nutzt.

Oder nutze die mit Windows gelieferte Datenträgerbereinigung(außer alte Dateien komprimieren) und saeubere dort die Systemwiederherstellung über "weitere Optionen".
http://support.microsoft.com/default.aspx?scid=kb;de;315246

habe ich gemacht, hat auch geklappt, hat mir ca 30 MB frei gemacht meint er...
-----------------------------------------------------------------------------------------------


2.
Combofix

Lade es von von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop

Starte es durch doppelklick auf die Combofix.exe und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeit, den bitte kopieren und in eurem .

dieses combofix ging gar nicht, mein anti virus lässt das nicht zu und das programm meinte ich wäre nicht berechtigt dazu...-----------------------------------------------------------------------------------------------

3.
Erstellen eines Hijackthis-Logfiles

Download: http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

hier der Logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:33:36, on 14.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Sophos\Remote Management System\RouterNT.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
c:\programme\lenovo\system update\suservice.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\printer.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Lenz_Horst\Desktop\BilderDavid\Singel - Singels Singeltreff Singelclub-Dateien\starcraft v1.13\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = awdproxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = intranet*;awd1061.awd-pharma.com;oraweb*;10.58*;172.18*;*.pliva.hr;https://webmail.awd-pharma.com;awd0058*;*.pliva.com;awd0018*;<local>
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCTRAY] C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [CfgDownload] C:\Programme\IXOS\IXOS-eCONtext\bin\CfgDownload.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=http://intranet
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169455701835
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = awd-pharma.com
O17 - HKLM\Software\..\Telephony: DomainName = awd-pharma.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = awd-pharma.com
O20 - AppInit_DLLs: C:\WINDOWS\system32\hrum441.txt
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Sophos Agent - Sophos Plc - C:\Programme\Sophos\Remote Management System\ManagementAgentNT.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Message Router - Sophos Plc - C:\Programme\Sophos\Remote Management System\RouterNT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: System Update (SUService) - - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

--
End of file - 11820 bytes

-----------------------------------------------------------------------------------------------

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)

Starte diese Batchdatei datfind.bat danach öffnet sich ein Notepad/Editor Fenster.
Kopiere diese erstellte Textdatei ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie ist nach Datum geordnet.
(kürze die Textdatei je Verzeichnis auf die letzten 3 Monate !)
Alternative Anleitung mit alter Datfindbat unter: http://virus-protect.org/datfindbat.html

Falls der Platz im Thread nicht ausreicht, speichere den Text als txt-Datei und poste es als Anhang.
Diese Funktion findet man unten. (Anhang: Datei: ....... Browse)

ebenfalls erledigt, hier das kopierte:


.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist DD6050
Volumeseriennummer: 383B-5E71

Verzeichnis von C:\WINDOWS\system32

14.08.2007 17:16 151.296 TPHDLOG0.LOG
14.08.2007 04:12 360.128 TPAPSLOG.LOG
14.08.2007 02:34 0 SBFC.dat
14.08.2007 02:34 0 SBRC.dat
14.08.2007 02:30 8.782 ckpNotify.log
14.08.2007 00:42 14.848 printer.exe
14.08.2007 00:42 37.376 vtr441.dll
14.08.2007 00:42 6.144 hrum441.txt
14.08.2007 00:42 14.848 winavxx.exe
23.07.2007 09:25 2.278 wpa.dbl
22.07.2007 18:39 279.552 swreg.exe
21.06.2007 07:51 230.226 TZLog.log
15.06.2007 14:37 27.376 SBBD.exe
05.06.2007 23:38 15.747.032 MRT.exe
14.05.2007 08:04 244.720 FNTCACHE.DAT
13.05.2007 21:31 25.941 NULL
04.05.2007 11:10 404.302 perfh009.dat
04.05.2007 11:10 63.522 perfc009.dat
04.05.2007 11:10 76.410 perfc007.dat
04.05.2007 11:10 419.544 perfh007.dat
04.05.2007 11:10 968.890 PerfStringBackup.INI
-----------------------------------------------------------------------------------------------

5.
Problembeschreibung / Symptome ?

Das Problem ausfuehrlich beschreiben und falls vorhanden auch die Pfade der Viren/Malware, die vom Virenscanner gefunden wurden mit angeben.

Das Problem steht oben, hoffe, das ist jetzt alles richtig so!!! Wie gehe ich weiter vor? Was mache ich als nächstes? Ich werde verrückt damit, das nervt übertrieben, danke im voraus!
grüsse! David
-----------------------------------------------------------------------------------------------
[/b]

#6 Hi,

folgendes ist online zu prüfen:
(http://www.virustotal.com/de/)

C:\WINDOWS\system32\hrum441.txt (Kann keine Textdatei sein, da sie als APP_init gestartet wird)
C:\WINDOWS\system32\vtr441.dll
C:\WINDOWS\system32\winavxx.exe
autorun.exe (Diese Dateien suchen, entweder im Windows oder system32-Verzeichnis)
system.exe (wie vorher)
C:\Programme\IXOS\IXOS-eCONtext\bin\CfgDownload.exe
C:\WINDOWS\system32\printer.exe

Poste die Ausgaben der Scanner, dann fixen wir es morgen;

Dein Internet wird etwas modifiziert:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = awd-pharma.com
O17 - HKLM\Software\..\Telephony: DomainName = awd-pharma.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = awd-pharma.com
Kennst Du das?

Chris

#7 Hallo Chris,

kann die Seite Virustotal leider nicht aufmachen, die sagen ich soll die URL prüfen, obwohl ich sie bei google finde, warscheinlich irgendwie geblockt oder so. Gibt es da auch eine andere Seite für?

Habe die Sache jetzt nicht richtig verstanden...

Die awd-pharma Sachen gehen in Ordnung, sind von der Arbeit meines Vaters.

Also wenn die Internetseite funktionieren würde mit Virustotal, müßte ich dann vom Prinzip her die von dir aufgeführten Pfäde überprüfen lassen oder?!

Was bedeutet, mein Internet wird modifiziert?

Ich würde die Dateien gerne einfach aus system32 rauslöschen, doch leider ist das nicht möglich, wenn ich drauf klick, verbietet es mir das.

Ich versteh das alles nicht...

Gruß
David

#8 Hi,

mit dem Onlinescannen will ich vermeiden, dass wir Programme etc.
löschen die keine Viren sind (die meisten gebrauchen die gleichen
Namen wie valide Treiber/Programme oder zufällig erstellte Namen).
Dies kann z.B.für die printer.exe zutreffen...(Die gibt es als tatsächliches
programm und als trojaner).

Probiere den Onlinescann hier:
http://virusscan.Jotti.org/de/

Alternativ versuche Cureit
Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de

Ich mag eigentlich keine Blindflüge, also auf eigene Gefahr:
(Avenger legt sowieso ein Backup an)...

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\hrum441.txt
C:\WINDOWS\system32\vtr441.dll
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\autorun.exe
C:\WINDOWS\system32\system.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - Global Startup: autorun.exe
O4 - Startup: system.exe

Poste alle Logs (Cureit, Onlinescanner, ...)

Chris

#9 Hallo,

also vielen Dank erstmal, die Dinger sind weg!

Das virusscan hat leider nicht funktioniert, habe es mit Cureit gemacht und: es hat geklappt! Er hat 3 vershciedene Trojaner gefunden. Einer davon war unter system 32 dieses Winav.

PC funktioniert auch noch.

Ein riesiges Lob für ihre Bemühungen, diese Seite ist top!!!

Grüße
David