Meine logfile! kann mir jemand helfen?

Amaru · 13.02.2005, 21:23

Logfile of HijackThis v1.99.0
Scan saved at 20:06:02, on 13.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Makaveli\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R3 - URLSearchHook: xToolbar - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\xtoolbar.dll
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: xToolbar - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\xtoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [securer] C:\WINDOWS\System32\securer\syshost.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://www.buldog-stats.com/adv/16//x.chm::/open.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/dld/116.chm::/file.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108319449406
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {CFAC00A4-E9E7-4A40-97A4-1E888B3DF0A6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://xxxtoolbar.ath.cx/toolbar/xt.chm::/xtoolbar.cab
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sandra Data Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

chaosman · 14.02.2005, 08:43

@Amaru
update system und IE
lade escan http://www.mwti.net/antivirus/free_utilities.asp
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.
wechsle danach in den abgesicherten modus und fixe mit HJT

R3 - URLSearchHook: xToolbar - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\xtoolbar.dll
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Programme\iMesh\iMesh5\iMeshBHO.dll
O3 - Toolbar: xToolbar - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\xtoolbar.dll
O4 - HKLM\..\Run: [securer] C:\WINDOWS\System32\securer\syshost.exe
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://www.buldog-stats.com/adv/16//x.chm::/open.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/dld/116.chm::/file.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {CFAC00A4-E9E7-4A40-97A4-1E888B3DF0A6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://xxxtoolbar.ath.cx/toolbar/xt.chm::/xtoolbar.cab
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
lösche danach manuell
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\xtoolbar.dll
C:\WINDOWS\System32\securer\syshost.exe
C:\Programme\iMesh\iMesh5\iMeshBHO.dll
C:\WINDOWS\System32\securer
C:\WINDOWS\Downloaded Program Files\CONFLICT.1
C:\Programme\iMesh\iMesh5
dein vorliebe mit filesharer zu arbeiten hat zu diesem infektion geführt
http://securityresponse.symantec.com...ette.worm.html
lasse jetzt escan scannen
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

neu booten, neues HJT logfile poste + escan ergebnisse
chaosman

Amaru · 14.02.2005, 19:11

muss ich wirklich mein system nach dem entfernen von den hijack sachen nochmal scannen? der erste scan hat schon 3 stunden gedauert?

HerrKautz · 14.02.2005, 19:22

Zitat:

Zitat von Amaru

muss ich wirklich mein system nach dem entfernen von den hijack sachen nochmal scannen? der erste scan hat schon 3 stunden gedauert?

Ja musst du!

Rene-gad · 14.02.2005, 19:29

@Amaru

Zitat:

muss ich wirklich mein system nach dem entfernen von den hijack sachen nochmal scannen? der erste scan hat schon 3 stunden gedauert?

Nee, das musst du nicht tun! In 3 Stunden kannst du dein PC komplett neu aufsetzen, was bei dieser menge Malware und mindestens einem Worm mit Backdoor-Funktion absolutes Muss ist:

Zitat:

O4 - HKLM\..\Run: [securer] C:\WINDOWS\System32\securer\syshost.exe

http://securityresponse.symantec.com...ette.worm.html

cacatoa · 14.02.2005, 19:34

@ Rene-Gad:
Full Ack!!

Amaru · 14.02.2005, 19:57

sorry........

Amaru · 14.02.2005, 19:58

Mon Feb 14 17:49:03 2005 => File C:\WINDOWS\Downloaded Program Files\WinServAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:49:03 2005 => File C:\WINDOWS\Downloaded Program Files\xtoolbar.dll infected by "Trojan.Win32.StartPage.rr" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:54:33 2005 => File C:\WINDOWS\LastGood\Downloaded Program Files\WinServAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

Mon Feb 14 18:06:02 2005 => File C:\WINDOWS\Temp\tmp000014600\ncrdev.exe infected by "Trojan.Win32.Agent.af" Virus. Action Taken: No Action Taken.

Hijack logfile:

Logfile of HijackThis v1.99.0
Scan saved at 19:27:31, on 14.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Makaveli\Desktop\HijackThis.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108319449406
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sandra Data Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Amaru · 14.02.2005, 19:59

Ok hat jetzt ne weile gedauert aber hier sind meine infizierten!
is es vielleicht wirklich besser mein system neu aufzusetzen?
welches tool kann ich in zukunft benutzen um sowas zu verhindern, ohne das ich mein sharing zu stark einschränken muss?

mwav.log treffer

Mon Feb 14 15:26:05 2005 => File C:\DOKUME~1\Makaveli\LOKALE~1\Temp\saveinstwm.ex$ infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.
Mon Feb 14 15:30:21 2005 => File C:\Dokumente und Einstellungen\Makaveli\Eigene Dateien\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Mon Feb 14 15:32:34 2005 => File C:\Dokumente und Einstellungen\Makaveli\Lokale Einstellungen\Temp\saveinstwm.ex$ infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.
Mon Feb 14 15:46:12 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Mon Feb 14 16:09:50 2005 => Scanning File C:\DOKUME~1\Makaveli\LOKALE~1\Temp\SCSILog0.txt
Action Taken: No Action Taken.

Mon Feb 14 16:15:47 2005 => Scanning File C:\Dokumente und Einstellungen\Makaveli\Eigene Dateien\ICQ Nummern.doc

Mon Feb 14 16:19:07 2005 => File C:\Dokumente und Einstellungen\Makaveli\Lokale Einstellungen\Temp\saveinstwm.ex$ infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Mon Feb 14 16:40:06 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Feb 14 17:05:35 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP164\A0037060.exe infected by "not-a-virus:AdWare.SaveNow.t" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:08:04 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP170\A0038113.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:12:37 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP185\A0040304.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:12:53 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP185\A0040305.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:34:36 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP214\A0055900.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:34:38 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP215\A0055909.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:34:40 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP215\A0056114.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:34:40 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP215\A0056128.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:35:17 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP217\A0056189.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:35:22 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP218\A0056271.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:35:45 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP218\A0056409.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:37:08 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP225\A0059712.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:37:14 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP226\A0059809.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:37:18 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP227\A0059877.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:37:20 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP227\A0059917.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:37:20 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP227\A0059928.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:37:29 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP228\A0059978.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:37:32 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP229\A0060019.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:37:32 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP229\A0060028.DLL.VIR infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:37:33 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP229\A0060036.DLL.VIR infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:39:56 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP233\A0060834.DLL.VIR infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:40:29 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP235\A0060884.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:40:30 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP235\A0060919.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:40:33 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP236\A0060960.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:40:37 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP237\A0061021.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:40:51 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP238\A0062020.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:40:54 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP238\A0062043.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:40:54 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP238\A0062052.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:40:55 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP238\A0062060.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:41:01 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP238\A0062101.dll infected by "not-a-virus:AdWare.WinAD.o" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:41:01 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP238\A0062101.dll infected by "not-a-virus:AdWare.WinAD.o" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:41:01 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP238\A0062104.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:42:27 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP238\A0062250.dll infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:42:31 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP238\A0062261.exe infected by "Trojan-Spy.Win32.Agent.w" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:46:13 2005 => File C:\System Volume Information\_restore{96C69A93-21D6-48AF-A207-303D01BB5818}\RP257\A0066033.dll infected by "not-a-virus:AdWare.WinAD.o" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:49:01 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\load.exe infected by "Trojan-Downloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:49:01 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\xtoolbar.dll infected by "Trojan.Win32.StartPage.rr" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:49:03 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

Mon Feb 14 17:49:03 2005 => File C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

Rene-gad · 14.02.2005, 20:02

@Amaru

Zitat:

is es vielleicht wirklich besser mein system neu aufzusetzen?

Es ist wirklich besser.

Zitat:

welches tool kann ich in zukunft benutzen um sowas zu verhindern, ohne das ich mein sharing zu stark einschränken muss?

Brain ab Version 1.5 aufwärts.
Noch 'ne Pflichtlektüre: http://faq.underflow.de/

Amaru · 14.02.2005, 21:05

weiß jemand wo ich ne ältere version von e-scan vor 4.5.1 oder 4.5.1 die die fehler noch beseitigt?

wenn ich mein system neu aufsetzt würdet ihr mir empfehlen sp2 draufzumachen? hab da net so viel gutes drüber gehört?

hab nach brain gesucht aber nicht gefunden ist das der komplette name?kannst du mir nen link geben?

cacatoa · 15.02.2005, 08:57

Hi,
SP2 natürlich drauf machen.
Brain ist englisch und heißt HIRN. Rene-Gad meinte also Hirn einschalten

Hier ist der Link dazu.
cacatoa

Rene-gad · 15.02.2005, 12:02

Moin cacatoa,

Zitat:

Hier ist der Link dazu.

Amaru · 15.02.2005, 12:15

haha seit ihr lustig kann mir jemand vielleicht mal wirklich weiterhelfen?

Rene-gad · 15.02.2005, 12:28

@Amaru

Zitat:

kann mir jemand vielleicht mal wirklich weiterhelfen?

Was heißt denn wirklich? Lese einfach den Thread durch und setze dein System neu auf. Oder wartest du , dass cacatoa und/oder ich kommen zu dir und werden es tun?

Meine logfile! kann mir jemand helfen?

Log-Analyse und Auswertung: Meine logfile! kann mir jemand helfen?