Hallo
Ich habe zum ersten mal einen Trojaner und hatte auch noch nie einen Virus.
Jetzt hab ich ein bisschen rumgesurft um razszufinden was ich machen kann.
Ad-Aware und antivir haben es nicht geschafft den Trojaner zu eleminieren...
dann bin ich auf Hijack gestossen
Das ist meine log :

Logfile of HijackThis v1.99.1
Scan saved at 17:41:30, on 20.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\AVPersonal\AVSched32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ipha32.exe
C:\WINDOWS\system32\crqn32.exe
C:\WINDOWS\system32\wuauclt.exe
G:\download\HijackThis1991.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\iisuf.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\iisuf.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\iisuf.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\iisuf.dll/sp.html#14044
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\iisuf.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\iisuf.dll/sp.html#14044
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\iisuf.dll/sp.html#14044
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E3C75ADD-28CA-1552-C53A-CB5117FD483C} - C:\WINDOWS\wingy.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [addcw.exe] C:\WINDOWS\system32\addcw.exe
O4 - HKLM\..\Run: [adduq.exe] C:\WINDOWS\system32\adduq.exe
O4 - HKLM\..\Run: [crqn32.exe] C:\WINDOWS\system32\crqn32.exe
O4 - HKLM\..\RunOnce: [d3uj32.exe] C:\WINDOWS\system32\d3uj32.exe
O4 - HKLM\..\RunOnce: [ipha32.exe] C:\WINDOWS\system32\ipha32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\dnqlxepn.exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/Insta...sAssistent.ocx
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdklq.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Wenn mir irgendjemand helfen könnte , wäre ich sehr dankbar.
Grüße flo

Hallo area50flo,

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (Scan im ABGESICHERTEN MODUSdauert etwa eine Stunde),http://www.systemwiederherstellung-d...indows-xp.html
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Scanne dein System bitte mit Escan:

http://www.trojaner-info.de//hijacker/escan

Bitte befolge die Beschreibung genau.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Edit:wie dartus richtig bemerkte-im abgesicherten Modus scannen

@cronos,



dartus

dumme Frage : (ist mir jetzt auch peinlich) aber wie komme ich in den abgesicherten Modus ???

edit : mein windows ist auf englisch , hoffe ich kriegs trotzdem hin ...

Das hat dir Dartus bereits beschrieben, indem er dir diesen Link gab:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Hallo,

schon den Link angeschaut:

http://www.systemwiederherstellung-d...indows-xp.html

F8-Taste mehrfach beim hochfahren drücken.

dartus

Hallo , hoffe das ist das richtige :

Sun Mar 20 18:13:34 2005 => File C:\WINDOWS\wingy.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:13:54 2005 => File C:\WINDOWS\iisuf.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:13:57 2005 => File C:\WINDOWS\knvjl.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:13:57 2005 => File C:\WINDOWS\lnatu.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:14:30 2005 => File C:\WINDOWS\system32\izwim.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:14:30 2005 => File C:\WINDOWS\system32\javatp.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:15:18 2005 => File C:\WINDOWS\system32\tzgyu.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:18:16 2005 => ***** Scanning complete. *****

Sun Mar 20 18:18:16 2005 => Total Files Scanned: 6288
Sun Mar 20 18:18:16 2005 => Total Virus(es) Found: 7
Sun Mar 20 18:18:16 2005 => Total Disinfected Files: 0
Sun Mar 20 18:18:17 2005 => Total Files Renamed: 0
Sun Mar 20 18:18:17 2005 => Total Deleted Files: 0
Sun Mar 20 18:18:17 2005 => Total Errors: 7
Sun Mar 20 18:18:17 2005 => Time Elapsed: 00:05:17
Sun Mar 20 18:18:17 2005 => Virus Database Date: 2005/03/17
Sun Mar 20 18:18:17 2005 => Virus Database Count: 122324

Sun Mar 20 18:18:17 2005 => Scan Completed.

vielen dank schonmal für eure Mühe

Du hast escan nicht korrekt ausgeführt.
So sollten die Einstellungen gesetzt sein:

So das kam nach einem ewig-scan raus :

Sun Mar 20 18:13:34 2005 => File C:\WINDOWS\wingy.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:13:54 2005 => File C:\WINDOWS\iisuf.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:13:57 2005 => File C:\WINDOWS\knvjl.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:13:57 2005 => File C:\WINDOWS\lnatu.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:14:30 2005 => File C:\WINDOWS\system32\izwim.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:14:30 2005 => File C:\WINDOWS\system32\javatp.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:15:18 2005 => File C:\WINDOWS\system32\tzgyu.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:57:00 2005 => File C:\WINDOWS\wingy.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:57:07 2005 => File C:\WINDOWS\apilt32.exe infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:57:20 2005 => File C:\WINDOWS\apilt32.exe.bak infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:57:21 2005 => File C:\WINDOWS\iisuf.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:57:24 2005 => File C:\WINDOWS\knvjl.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:57:24 2005 => File C:\WINDOWS\lnatu.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:57:57 2005 => File C:\WINDOWS\system32\izwim.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:57:57 2005 => File C:\WINDOWS\system32\javatp.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Sun Mar 20 18:58:46 2005 => File C:\WINDOWS\system32\tzgyu.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 19:33:06 2005 => File C:\WINDOWS\apilt32.exe.bak infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Sun Mar 20 19:22:45 2005 => Scanning Folder: C:\Program Files\AVPersonal\INFECTED\*.*

Sun Mar 20 19:22:45 2005 => Scanning File C:\Program Files\AVPersonal\INFECTED\crqn32.VIR

Sun Mar 20 19:22:45 2005 => File C:\Program Files\AVPersonal\INFECTED\crqn32.VIR infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Sun Mar 20 19:33:06 2005 => File C:\WINDOWS\apilt32.exe.bak infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Sun Mar 20 19:35:13 2005 => File C:\WINDOWS\iisuf.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 19:36:10 2005 => File C:\WINDOWS\knvjl.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 19:36:10 2005 => File C:\WINDOWS\lnatu.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 19:44:57 2005 => File C:\WINDOWS\system32\izwim.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Sun Mar 20 19:44:57 2005 => File C:\WINDOWS\system32\javatp.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Sun Mar 20 19:46:07 2005 => File C:\WINDOWS\system32\tzgyu.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.



Sun Mar 20 20:52:33 2005 => ***** Scanning complete. *****

Sun Mar 20 20:52:33 2005 => Total Files Scanned: 143446
Sun Mar 20 20:52:33 2005 => Total Virus(es) Found: 20
Sun Mar 20 20:52:33 2005 => Total Disinfected Files: 0
Sun Mar 20 20:52:33 2005 => Total Files Renamed: 0
Sun Mar 20 20:52:33 2005 => Total Deleted Files: 0
Sun Mar 20 20:52:33 2005 => Total Errors: 5
Sun Mar 20 20:52:33 2005 => Time Elapsed: 01:58:02
Sun Mar 20 20:52:33 2005 => Virus Database Date: 2005/03/17
Sun Mar 20 20:52:33 2005 => Virus Database Count: 122324

Sun Mar 20 20:52:33 2005 => Scan Completed.



so denke das war jetzt das richtige

Die solltest jetzt alle löschen können.
Dazu:

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Löschen bitte im abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Lösche auch den Inhalt des Ordners:

C:\Program Files\AVPersonal\INFECTED

Vielen Dank !!!
werde mich gleich drum kümmern.

Vergiss aber nicht, wenn alles gelöscht ist, die Systemwiederherstellung zu aktivieren.