Hi,
bin neu hier und habe folgendes Problem. Internet ist seit Neuestem langsam, deshalb habe ich mittels escan nach Viren gesucht.
Gefunden habe ich dabei

Mon Nov 29 17:11:48 2004 => File C:\System Volume Information\_restore{605873A5-8198-407E-9EC5-F4761FFE289D}\RP25\A0014127.exe infected by "TrojanDropper.Win32.VB.ct" Virus. Action Taken: No Action Taken.

Mon Nov 29 16:50:14 2004 => File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

Der nächste Schritt wäre dann mit HijackThis die Viren entfernen. Allerdings bin ich mir etwas unsicher. Bitte um Tipps zum logfile.

Logfile of HijackThis v1.98.2
Scan saved at 19:39:47, on 29.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\TrafficStatistic\bin\gui\TrafficStatisticGUI.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\TrafficStatistic\bin\http_server\HTTP_Srv.exe
C:\Programme\TrafficStatistic\bin\cpm\RunCPM.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\explorer.exe
C:\Programme\winCommand\WINCMD32.EXE
C:\Dokumente und Einstellungen\dimosca\Lokale Einstellungen\Temp\$wc\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TrafficStatisticGUI] "C:\Programme\TrafficStatistic\bin\gui\TrafficStatisticGUI.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

Bitte um Hilfe, weiß nicht weiter.

@dimosci
hier was zum nachlesen
gebe bitte HJT einen eigenen ordner
lade dir bei www.clearprog.de clearprog
programm starten, alle häkchen bei windows und IE setzen, danach löschen.
gehe in den abgesicherten modus http://www.trojaner-board.de/63335-w...s-starten.html

und lösche manuell
C:\System Volume Information\_restore{605873A5-8198-407E-9EC5-F4761FFE289D}\RP25\A0014127.exe
neu starten

im log sehe ich nichts auffälliges

chaosman

erst einmal danke,
ich habe aber das Problem, dass sich dieses Verzeichnis nicht löschen lässt.
Es ist schreibgeschützt.

Löse das Problem wie folgt:
Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren

das klappt einfach nicht,
habs schon mehrfach versucht, die datei ist und bleibt schreibgeschützt.
Die Systemwiederherstellung ist ausgeschaltet und trotzdem lässt sich auf diese Datei nicht zugreifen.
Das dauert nun echt schon wieder Stunden, so langsam kriegsch die Motten.

Wenn du das so ausführst, dann brauchst du die Datei nicht mehr manuell löschen.

Zitat:

Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren

Du musst nach der Deaktivierung das System rebooten, sonst funktioniert es nicht.

So das scheint geklappt zu haben. Wenn ich jetzt escan durchlaufen lasse ist der virus in der 'system volume information' weg. Im VErzeichnis c:/windows ist aber immernoch die autoload.exe zu finden. Escan findet also immer noch den virus.

Zitat:

Im VErzeichnis c:/windows ist aber immernoch die autoload.exe zu finden. Escan findet also immer noch den virus.

Das ist schon OK so, dabei handelt es sich nicht um Malware.

Ich befürchte, dass dieses Problem noch nicht ausgestanden ist.
Internet ist immer noch problematisch af diesem Rechner.
NAch dem öffnen des Browsers lassen sich zwei drei Seiten aufrufen dann ist die Verbindung unterbrochen und keine Seite trotz stehender VErbindung aufzurufen.
ich versuche grade wieder escan zu starten und dann einen neuen Scan zu starten. Hoffe das Beste.

Vor Morgen wird das hier eh nichts mehr, ich danke allen und poste wohl demnächst weiter.
by by
dimosca

Führe den eScan im abgesicherten Modus aus und verwende einen sicheren und komfortableren Browser wie z.B. Mozilla oder Firefox http://www.mozilla.org/ .
Beobachte ob dieses Problem auch beim Firefox besteht.

@ dimosci

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade bitte das aktuelle Service Pack runter: www.windowsupdate.com

Erstelle dann ein weiteres Hijack This Logfile und poste es.

Gute Nacht ;-)

SD

Als Browser verwende ich nur Opera. Sehr komfortabel wie ich finde. Den log gibts dann morgen abend an dieser Stelle.
Guts Nächtle