Moin ich hab da ein Problem welches ich nicht beseitigt bekomme, Es heißt

Trojan.w32.topantispyware.h und die datei dazu srpcsrv32.dll

Ich kann ihn nicht löschen und auch nicht desinfizieren!!!

Ich benutze dazu gdata vierenschutz von aol
Spybot adaware und spyblaster

vielen dank für eure hilfe im vorraus

Hi,

mach mal einen eScan Haken setzen bei "All Local Drives und Scan All Files" nach Beschreibung entpacken

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Fri Mar 18 12:40:33 2005 => ***** Scanning complete. *****

Fri Mar 18 12:40:33 2005 => Total Files Scanned: 64384
Fri Mar 18 12:40:33 2005 => Total Virus(es) Found: 19
Fri Mar 18 12:40:33 2005 => Total Disinfected Files: 0
Fri Mar 18 12:40:33 2005 => Total Files Renamed: 0
Fri Mar 18 12:40:33 2005 => Total Deleted Files: 0
Fri Mar 18 12:40:33 2005 => Total Errors: 15
Fri Mar 18 12:40:33 2005 => Time Elapsed: 01:35:11
Fri Mar 18 12:40:33 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 12:40:33 2005 => Virus Database Count: 122324

Fri Mar 18 12:40:33 2005 => Scan Completed.

Fri Mar 18 14:04:47 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 14:04:47 2005 => Virus Database Count: 122324
Fri Mar 18 14:04:53 2005 => AV Library Unloaded (3)...


mwxface.log

[msvLclnt.dll] [0x00000384] 18/03/2005 11:03:54:252 :ModuleName = C:\bases\mwavscan.com
[msvLclnt.dll] [0x00000384] 18/03/2005 11:03:54:252 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000384] 18/03/2005 11:03:57:967 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000384] 18/03/2005 11:03:57:967 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000384] 18/03/2005 11:03:57:967 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000384] 18/03/2005 11:03:57:967 :Priority : NORMAL
[msvLclnt.dll] [0x00000384] 18/03/2005 11:04:00:150 :VirusCount = 122324 Latest Date = 2005/03/17
[msvLclnt.dll] [0x0000042c] 18/03/2005 11:05:11:122 :[00000001] File C:\WINNT\System32\spoolsrv32.exe infected by Trojan.Win32.TopAntiSpyware.h
[msvLclnt.dll] [0x0000042c] 18/03/2005 11:08:52:601 :[00000001] File C:\WINNT\System32\srpcsrv32.dll infected by Trojan.Win32.TopAntiSpyware.h
[msvLclnt.dll] [0x0000042c] 18/03/2005 11:14:18:469 :[00000001] File D:\EIGENE~1\NEUERO~3\TEMPOR~1\Content.IE5\KPGLUBYX\$file[1] infected by Trojan-Dropper.Win32.Small.uy
[msvLclnt.dll] [0x0000042c] 18/03/2005 11:26:06:487 :[00000001] File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x0000042c] 18/03/2005 11:37:07:959 :[00000001] File C:\System Volume Information\_restore{4771BDD5-AE32-4679-85C6-770C7D1FC7F8}\RP40\A0009615.dll infected by Trojan-Downloader.Win32.Agent.kf
[msvLclnt.dll] [0x0000042c] 18/03/2005 11:37:10:662 :[00000001] File C:\System Volume Information\_restore{4771BDD5-AE32-4679-85C6-770C7D1FC7F8}\RP40\A0009720.exe infected by Trojan-Dropper.Win32.Small.uy
[msvLclnt.dll] [0x0000042c] 18/03/2005 11:51:20:464 :[00000001] File C:\WINNT\system32\srpcsrv32.dll infected by Trojan.Win32.TopAntiSpyware.h
[msvLclnt.dll] [0x0000042c] 18/03/2005 11:52:53:017 :[00000001] File D:\Eigene Dateien\backup-20050310-193436-846.dll infected by not-a-virus:AdWare.ToolBar.MyWay.g
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:06:37:162 :[00000001] File D:\Eigene Dateien\neu\aol.9.0.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:08:43:424 :[00000001] File D:\Eigene Dateien\Neuer Ordner (2)\Temporary Internet Files\Content.IE5\KPGLUBYX\$file[1] infected by Trojan-Dropper.Win32.Small.uy
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:24:35:443 :[00000001] File D:\Programme\AOL 9.0\download\toe.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:09:983 :[00000001] File D:\Programme\AOL 9.0\Jiti\Jiti_mm.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:30:813 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12556345.asw infected by not-a-virus:AdWare.Altnet.b
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:30:893 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12556585.asw infected by not-a-virus:AdWare.Altnet.b
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:30:943 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12556785.asw infected by not-a-virus:AdWare.Altnet.b
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:31:033 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12557106.asw infected by not-a-virus:AdWare.Altnet.b
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:31:123 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12557486.asw infected by not-a-virus:AdWare.Altnet.b
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:31:323 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12557747.asw infected by not-a-virus:AdWare.Altnet.b
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:37:35:294 :[00000001] File D:\Programme\RealVNC\VNC4\wm_hooks.dll infected by not-a-virus:RiskWare.RemoteAdmin.WinVNC.4
[msvLclnt.dll] [0x0000042c] 18/03/2005 12:40:33:631 :VirusCount = 122324 Latest Date = 2005/03/17
[msvLclnt.dll] [0x00000384] 18/03/2005 14:04:47:979 :VirusCount = 122324 Latest Date = 2005/03/17

lade die KillBox und Clearprog

Starte Clearprog setze Haken bei allese löschen und ok
boote in den abgesicherten Modus und lösche bei deaktivierter Systemwiederherstellung mit der Killbox alle Dateien ausser mit Bezeichnung RiskWare; Win32.Reboot; AdWare.Altnet.b
Solltest Du folgende Dateien nicht unbedingt benötigen was warscheinlich der Fall sein wird, dann Backupordner leeren:
D:\Programme\AOL Privacy Protection\Backup\12556345.asw

lade danach die anderen Dateien in die Killbox (Delete on Reboot anklicken)nach jeder Datei auf das rote Kreuz drücken
Wenn Du gefragt wirst "Do you want to reboot?" auf no erst beider letzten auf yes

Zitat:

C:\System Volume Information\_restore

diese brauchst Du nicht löschen die sind nach einem Neustart weg

Boote dann neu und erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Logfile of HijackThis v1.99.1
Scan saved at 12:36:59, on 19.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\pctspk.exe
C:\WINNT\System32\taskswitch.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINNT\System32\ctfmon.exe
D:\Programme\adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\Teledat\TelFax32.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
d:\Programme\Virenschutz\AVKService.exe
d:\Programme\Virenschutz\AVKWCtl.exe
D:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mqsvc.exe
C:\WINNT\System32\mqtgsvc.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.christian-juelich.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [WheelMouse] d:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINNT\System32\taskswitch.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Fax.lnk = D:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Microsoft AntiSpyware helper - {E0BFC99D-54C9-48AD-BB7A-91FE57021037} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E0BFC99D-54C9-48AD-BB7A-91FE57021037} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {EEF46E5E-5FD9-4B77-9E4E-C7C8E24760CD} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {EEF46E5E-5FD9-4B77-9E4E-C7C8E24760CD} - (no file) (HKCU)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0876beb4...p/RdxIE601.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9A6FC88-DFEF-4E71-9802-032B6F859152}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - D:\Programme\AOL Privacy Protection\aolserv.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - d:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - d:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\TELEDAT\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

...und dann besuchst du noch mal die Windows-Update-Seite und holst Dir das SP2...
...und dann aktivierst Du auch die Systemwiederherstellung wieder...

@gigamail:
greetz

cacatoa

mein rechner versucht sich immer noch alleine ins internet einzuwählen!!

Zitat:

Zitat von Gigamail

lade die KillBox und Clearprog

Starte Clearprog setze Haken bei allese löschen und ok
boote in den abgesicherten Modus und lösche bei deaktivierter Systemwiederherstellung mit der Killbox alle Dateien ausser mit Bezeichnung RiskWare; Win32.Reboot; AdWare.Altnet.b
Solltest Du folgende Dateien nicht unbedingt benötigen was warscheinlich der Fall sein wird, dann Backupordner leeren:
D:\Programme\AOL Privacy Protection\Backup\12556345.asw

lade danach die anderen Dateien in die Killbox (Delete on Reboot anklicken)nach jeder Datei auf das rote Kreuz drücken
Wenn Du gefragt wirst "Do you want to reboot?" auf no erst beider letzten auf yes


diese brauchst Du nicht löschen die sind nach einem Neustart weg

Boote dann neu und erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Welche dateien soll ich noch mit killbox löschen verstehe das Programm nicht ganz! ("Scheiss Englisch")

@ chorty 19

lasse doch mal folgende Datei hier online prüfen und teile das Ergebnis mit.
C:\WINNT\System32\spoolsrv32.exe

da öffnet sich ein fenster in dem dann Steht

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

wie groß ist die Datei wenn Du auf ihr rechte Maustaste und auf Eigenschaften klickst?
Frage gibt es sowas auf Deinem Rechner:C:\r.exe

9,50 kb

eine datei r.exe wurde zumindest bei der suche nicht gefunden

Du hast wahrscheinlich den hier im System, ich wollte das eigentlich nochmal bestätigt haben. Hast Du bei Jottionlinescan oben bei Durchsuchen die Datei geladen und dann auf Submit gedrückt?

Die datei lässt sich nicht hochladen!!! wie bekomm ich den scheis denn weg?

--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
und fixe mit HJT folgende Einträge:

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file
O4 - HKCU\..\RunOnce: [Srv32 spool Service]C:\WINNT\System32\spoolsrv32.exe
O9 - Extra button: Microsoft AntiSpyware helper - {E0BFC99D-54C9-48AD-BB7A-91FE57021037} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E0BFC99D-54C9-48AD-BB7A-91FE57021037} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {EEF46E5E-5FD9-4B77-9E4E-C7C8E24760CD} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {EEF46E5E-5FD9-4B77-9E4E-C7C8E24760CD} - (no file) (HKCU)

lösche von Hand:
C:\WINNT\System32\spoolsrv32.exe

neu booten neues HJT posten