Hallo ich grüße euch alle miteinander,
habe ein Problemm dabei handelt es sich um folgendes:
Bei jeden Neustart meldet mir Antivir Guard - Trojanisches Pferd der mit E2Give zu tun hat, den lösche ich mit PestPetrol, selbst den Registry Eintrag. Aber wie gesagt bei jeden Neustart das selbe Spiel wieder. Jetzt habe ich mich mal so belesen und habe mir die Hijackthis.exe geladen. Und mein Logfile sieht folgender maßen aus:

Logfile of HijackThis v1.99.0
Scan saved at 11:13:20, on 29.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\Fast.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\fast.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\prutmct.exe
C:\WINDOWS\System32\prutmct.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [prutmct] C:\WINDOWS\System32\prutmct.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{C76E35D6-02C0-457D-A183-2033EFCFB0B4}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Wie schlimm sieht es bei mir aus???
Kann man da noch etwas retten???

MfG Maik aus L.E.

@Struppibanter
system updaten auf SP2
wo würde E2Give gefunden?

http://www.doxdesk.com/parasite/E2Give.html

diesen datei kenne ich nicht,
lasse den bitte hier
http://virusscan.jotti.org/de
überprüfen, und poste das ergebnis
chaosman

Danke Chaosman für deine schnelle hilfe.
Ich habe mal alles zusammen gefasst was ich heraus gefunden habe.

PestPatrol Ergebnis:

Scan of 29.01.2005 13:17:23
Pests found: 2
Area scanned: C:\

Pest: e2give
Pest Info: Category: Hijacker Release Date: 7/12/2004 0:00:00 Background Info: Click here
File Info: In Registry: HKEY_LOCAL_MACHINE\software\e2g
Certainty: Confirmed Threatens: Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~
Pest: E2Give ( charity network) Directory
Pest Info: Category: Adware Release Date: 8/6/2004 0:00:00 Background Info: Click here
File Info: In Directory: C:\Programme\e2g Date: 28.01.2005 23:20:28
Certainty: Confirmed Threatens: Confidentiality, Productivity, Liability Risk: Low. Advice: Delete when empty
Action: Ignored
------------------------------------------------------------------------------------------------------------------------------
Antivir Guard Ergebnis:
C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\K9UBS1YJ\IEBHOS[1].DLL

Ist das Trojanische Pferd TR/VB.qn.C
~~~
C:\PROGRAMME\E2G\IEBHOS.DLL

Ist das Trojanische Pferd TR/VB.qn.C

C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4PQV8LIF\IEBHOS[1].DLL

Ist das Trojanische Pferd TR/VB.qn.C


C:\PROGRAMME\E2G\IEBHOS.DLL

Ist das Trojanische Pferd TR/VB.qn.C
-------------------------------------------------------------------------------------------------------------------
Manuelle Beseitigung: Ohne Erfolg, da sagt er das er die Datei nicht finden kann ( habe es auch mit den Pfad C:\PROGRAMME\E2G\IEBHOS.DLL probiert)

Or, for the IeBHOs variant:
cd "%WinDir%\System"
regsvr32 /u "C:\E2G\iebhos.dll"

Restart the computer and you should be able to delete the folder 'E2Give' in Program Files (E2Give variant),
or 'E2G' in the C: drive (IeBHOs variant).

You can also open the registry (Start->Run->regedit)
and delete the key HKEY_LOCAL_MACHINE\SOFTWARE\E2Give to clean up, if you like.
---------------------------------------------------------------------------
Frage Kann ich den Ordner (C:\System Volume Information löschen???)

---------------------------------------------------------------------------

Update mache ich jetzt sofort. Mit Deinen zweiten Link das klappte nicht, weil
wo angeblich der Virus wäre ist leider keine Datei mit jenen namen vorhanden.

Hi,

Zitat:

C:\PROGRAMME\E2G\IEBHOS.DLL

ich nehme mal an die Datei ist versteckt, probiere mal damit: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
ob sie jetzt zu sehen ist, wenn ja dann manuell löschen.
Lade Dir Clearprog
Haken bei alles Löschen rein und dann auf löschen. Keine Angst sind nur temp Dateien und Deine Temporary Internet Files,Cookies und solcher Schrott

Zitat:

Frage Kann ich den Ordner (C:\System Volume Information löschen???)

Den Ordner kannst Du nicht löschen der ist für die Systemwiederherstellung
Lade Dir eScan
Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.
(Shadowdance zitiert)

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)



Gruß Gigamail

Vielen Dank dir auch Gigamail für deine Hilfe.

Ich konnte die Manuelle Beseitigung wie (unten angegeben) diesmal erfolgreich durchführen. Mein fehler war das der Antivir Guard immer gleich ansprang und ich gewählt hatte "Virus beseitigen/löschen" deswegen war die Datei (iebhos.dll) nicht vorhanden. Den Befehl "Systemdateien ausblenden hatte ich auch schon behoben" deshalb hatte ich mich so gewundert.

Or, for the IeBHOs variant:
cd "%WinDir%\System"
regsvr32 /u "C:\E2G\iebhos.dll"

Restart the computer and you should be able to delete the folder 'E2Give' in Program Files (E2Give variant),
or 'E2G' in the C: drive (IeBHOs variant).

You can also open the registry (Start->Run->regedit)
and delete the key HKEY_LOCAL_MACHINE\SOFTWARE\E2Give to clean up, if you like.
------------------------------------------------------------------------------------------------------------------
Service Pack 2 ist installiert.

Zu meiner Frage Kann ich den Ordner (C:\System Volume Information löschen???),
das hatte ich deshalb gefragt weil mein Virusscanner in diesen Ordner Trojaner gemeldet hat,
sowie auch der eScan es macht:

Hier die mwxface.log Ergebniss:

[msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:47:031 :ModuleName = C:\Bases\mwav\mwavscan.com
[msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:47:031 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:48:078 :Options Set by External applications mwavscan.com are 9896960

(0x970400):
[msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:48:078 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:48:078 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:48:078 :Priority : NORMAL
[msvLclnt.dll] [0x00000f3c] 29/01/2005 17:57:48:406 :VirusCount = 117012 Latest Date = 2005/01/28
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:21:937 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP54\A0011625.exe infected by not-a-virus:AdWare.WebHancer
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:33:906 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP54\A0011801.exe infected by Trojan-Spy.HTML.VB.eh
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:45:125 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP56\A0012050.exe infected by TrojanDropper.Win32.Agent.k
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:390 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012441.exe infected by TrojanDownloader.Win32.Small.vt
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:421 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012442.exe infected by TrojanDropper.Win32.Small.kt
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:546 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012446.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:625 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012447.dll infected by not-a-virus:AdWare.BargainBuddy.l
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:671 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012448.dll infected by not-a-virus:AdWare.BargainBuddy.l
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:734 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP57\A0012449.dll infected by not-a-virus:AdWare.BargainBuddy.l
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:16:59:937 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP58\snapshot\MFEX-14.DAT infected by not-a-virus:AdWare.BiSpy.t
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:17:04:671 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP58\A0012482.dll infected by not-a-virus:AdWare.BiSpy.t
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:17:05:546 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP58\A0012518.exe infected by not-a-virus:Tool.Win32.HTPatch.a
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:20:00:843 :[00000001] File C:\System Volume

Information\_restore{9EDEB5D8-9C8A-4C24-AD56-81EC81D3F910}\RP61\A0016309.dll infected by not-a-virus:AdWare.BHO.E2Give.a
[msvLclnt.dll] [0x00000f90] 29/01/2005 18:20:26:546 :Virusunt = 117012 Latest Date = 2005/01/28


Soll ich nochmal ein Logfile posten???

MfG maik aus L.E.

@Struppibanter

Zitat:
Frage Kann ich den Ordner (C:\System Volume Information löschen???)

Den Ordner kannst Du nicht löschen der ist für die Systemwiederherstellung
systemwiederherstellung deaktivieren, neu booten, systemwiederherstellung aktivieren

chaosman