@ chris:
Kurzes Einmischen:
Würde mir das:
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
mal genauer ansehen.
Hier zu TkBellExe.
cacatoa

@ rtfm

Platform: Windows 2000 SP3 (WinNT 5.00.2195)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - besuche: www.windowsupdate.com

Boote in den abgesicherten Modus, fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!h**p://hitcounter.ath.cx/loud.chm::/bridge-c1 8.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.141/code/PWActiveXImgCtl.CAB

boote in den normalen Modus.

---------------------

Sende bitte folgende Dateien passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen kann:

C:\WINNT\system32\OOD2000.exe
C:\WINNT\system32\ZoneLabs\minilog.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
D:\FreeRAM\FreeRAM XP Pro 1.40.exe

.... und dann heisst es warten. Vielleicht weiss jemand von Euch über diese dateien Bescheid?

argh.. ich bin dem ding auf dem leim gegangen.. bisher hab ich eben noch keine als tkbell getarnte viren gesehen, ich hab immer angenommen, "die variante gibts sicherlich nicht^^" aber offenbar doch..
na dann haben wir ja einen lovesan auchnoch drauf. da kommt am besten das removaltool von symantec zum einsatz. nämlich das:
http://securityresponse.symantec.com/avcenter/FixLG.com

so und jetzt eine einmischung von mir: ood2000.exe is von ner pcwelt cdrom, afaik ist dass doch die freeware von o&o defrag.
minilog.exe ist der logfile updater von zonealarm, damit der log immer aktuell bleibt.
FreeRAM XP Pro v1.40.exe ist freeram xp pro. das ist ein programm das den speicher entschlackt.

laut symatec remover ist keine variante vom lovesan auf dem rechner
also diesen eintrag auch rausnehmen

O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot

jep genau. der muss rausgelöscht werden. lösche auch gleich mal die datei um sicher zu gehen

Nur´n Tipp:
Lovesan ist nicht gleich Lovgate...
cacatoa
Entfernen war o.k.

ups^^ hab ich mich doch glatt verschrieben. ich weiß schon die unterscheiden sich. die beiden sind aber auch vom namen her leicht zu verwechseln^^

so, lovegate wurde auch nicht gefunden.

die backups von hjt und den qurantäneordner von antivir kann ich ja dann im abgesicherten modus auch löschen oder? weil av meldete grad schon wieder nen zugriffsversuch aus dem backupordner.

Kannst du löschen.
Wer hat keinen lovgate gefunden (Doch nicht etwa Norton? [über security symantec])
cacatoa

dieses tool :

http://www.trojaner-info.de/programme.shtml
W32.LoveGate (Variante A-O)

Zitat:

Zitat von rtfm Heute, 11:47

O4 - HKCU\..\Run: [windll32.exe] C:\WINNT\system32\windll32.exe

--> Search Results for: windll32.exe ( 0 Results Found ) bei www.processlibrary.com ... aber: windll32.exe:

1. Sophos Virenlexikon: Troj/Ikmet-A
2. Sophos Virenlexikon: Troj/Loony-J

Warum ist diese Datei verschwunden? Wir haben sie nicht gelöscht, sie ist nicht beim eScan in Erscheinung getreten, sie kommt in keinem Hijack This Logfile mehr zum Vorschein, aber sie war da. Und wo ist sie jetzt?

ich weiss es auch nicht.

antivir verweigerte grad den zugriff von:

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\0FBQMETC\HILFEN-17-27866-10[2].HTML

was ist das denn nun wieder?

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf, falls Du es noch nicht runtergeladen hast ...

hatte ich schon drüber laufen lassen.
mach ich dann noch mal...
kam eben beim googlen nach "evntsvc.exe"

aber win32.dll.exe kann doch eigentlich auch gelöscht werden oder wird die benötigt?