hi,

ich hab beimsurfen, die meldung bekommen, dass ich den Trojaner/small hääte und hab diesen dann gelöscht....nun hab ich aber einen anderen Hintergrund, mit der Meldung, dass mein pc befallen wär...bei rechtsklich, wird mir dann dieser pfad als hintergrund angezeigt:

file://C:\WINDOWS\Web\desktop.html

Ich hab dann von nem kumpel den "web"ordner bekommen und mein pc neugestartet, dann war der hintergrund (der trojaner) wieder da :-(

kann mir jemand helfen ?

EDIT: Und unter prozesse läuft noch ein "wowexec.exe", der etwas eingerückt ist

Hi,

scanne DeinSystem mal mit eScan nach Beschreibung (siehe unten)

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

leider geht der downloadlink nicht...und ich find auch keinen :-(

@ Fishbone

Zitat:

leider geht der downloadlink nicht...und ich find auch keinen

Was heisst das jetzt?
Funktioniert der Link bei dir nicht oder hast du rechts oben die Download Mirror übersehen?

Poste mal den Inhalt der hosts Datei (vorrausgesetzt -> Win XP):
Start -> Ausführen -> notepad %windir%\System32\Drivers\etc\hosts -> OK

Ebenso dies ausführen:
Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Code: Alles auswählenAufklappen

ATTFilter

  Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost
         

steht dann da...die anderen sachen poste ich dann noch.

Code: Alles auswählenAufklappen

ATTFilter

eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp Die herunterzuladene Datei mwav.exe ist ca. 4,5 MB groß.
         

ich hab auf den link gedrückt, dannn kommt aber nix :-(

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 18:24:38, on 01.03.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\F1$hb0n3\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kwick.de/
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D3A7982E-915D-4589-8ECE-249F70D0C941} (Launch Control) - http://aaotracker.4players.de/LaunchGame.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
         

Zitat:

leider geht der downloadlink nicht...und ich find auch keinen :-(

Versuchs mal bei den Russen

Zitat:

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

Zumindest war dieser schon aktiv, eventuell ist er es immer noch.

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Warum wurde dein System nicht ausreichend mit Updates und Patches versorgt?

habs erst neu draufgemacht...und es gibt noch ein paar andere gründe

ich hab in der zwischenzeit Spybot S&D draufgemacht, der meinte, dass spoolsv32.exe irgendwas in meine regisrty schreiben wollte. Da hab ich dann auf verweigern gedrückt..aber mein hintergrund ist immernoch nicht richtig

@Fishbone

was ist jetzt mit dem eScan
Hast Du den Russenlink probiert?

Es ist zwar äusserst sinnlos ein nicht gepatchtes System zu bereinigen, aber versuche dein Glück trotzdem.

- Führe einen Fullscan im abgesicherten Modus mit aktualisiertem AntiVir aus.
- Führe dies aus -> http://www.trojaner-board.de/showpos...59&postcount=7

Danach dies lesen ->
http://www.trojaner-board.de/showthread.php?t=13150
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

das 1ste hab ich schon gemacht...da war unter "web" so ein ding namen "security", dass hab ich dann gelöscht. nun hab ich wenigstens nen hintergrund wieda

Zitat:

Zitat von Fishbone

habs erst neu draufgemacht...und es gibt noch ein paar andere gründe

Welche?

Wo ein Wille ist, ist bekanntlich auch ein Gebüsch.
Wenn du SP2 haben möchtest, bekommen wir das auch drauf!
LG, Charlie

@ Fishbone

würde mich freuen wenn Du mal meine Frage beantwortest

Zitat:

Zitat von charlie1

Welche?

Wo ein Wille ist, ist bekanntlich auch ein Gebüsch.
Wenn du SP2 haben möchtest, bekommen wir das auch drauf!
LG, Charlie

*lol*, die gründe sind nicht legal^^

@giga:

Hab den scanner gestartet, hat sich dann aber aufgehängt.