Hatte vor paar Tagen paar Viren oder Trojaner aufm PC.
Ich hab jetzt alles durchlaufenlassen was ich hab.
Spybot - Search & Destroy, Ad-Aware, AntiVir, Trojan Remover. einige viren und trojaner wurden gelöscht und ich hab auch alles gelöscht was verdächtig war. die Registry wurde gereinigt, scan disk hab ich durchlaufen lassen und und und ... jetzt läuft alles wie vorher.
Könnt ihr mal schauen ob jetzt alles wieder clean ist?
ich benutzte onlinebanking, deshalb ist es mir wichtig das alles okey ist.
aber xp neu draufspielen will ich eigentlich nicht.

Könnt ihr mir sagen welche Probs ich fixen soll?

Jetzt schon mal DANKE!!!

Logfile of HijackThis v1.99.1
Scan saved at 02:26:18, on 23.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\windows\system32\CTsvcCDA.EXE
C:\windows\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
D:\Programme\Winamp\winampa.exe
C:\windows\SystemTray.exe
D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\windows\system32\ctfmon.exe
D:\Programme\Spamihilator\spamihilator.exe
D:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
D:\Programme\T-DSL SpeedManager\tsmsvc.exe
D:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lbbw.de/lbbw-start.html
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SysTray] SystemTray.exe
O4 - HKLM\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "D:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global User Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1093117630025
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FB89B7A-A41C-49E4-A01E-8641F965ECAA}: NameServer = 217.237.151.161 194.25.2.129
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\windows\system32\CTsvcCDA.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe

Hallo SizilianLaw,

lass bitte folgende Datei:

C:\windows\SystemTray.exe

hier online scannen:

http://virusscan.jotti.org/de

Teile bitte das Ergebnis mit.

dartus

Zitat:

Zitat von dartus

Hallo SizilianLaw,

lass bitte folgende Datei:

C:\windows\SystemTray.exe

hier online scannen:

http://virusscan.jotti.org/de

Teile bitte das Ergebnis mit.

dartus

Auslastung:
0% 100%
Datei: SystemTray.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH, MEWBUNDLE, MEW

AntiVir
Keine Viren gefunden (0.42 Sekunden)
Avast
Keine Viren gefunden (1.51 Sekunden)
AVG Antivirus
Keine Viren gefunden (0.75 Sekunden)
BitDefender
Keine Viren gefunden (0.62 Sekunden)
ClamAV
Keine Viren gefunden (0.65 Sekunden)
Dr.Web
Keine Viren gefunden (0.95 Sekunden)
F-Prot Antivirus
Keine Viren gefunden (9.09 Sekunden)
Fortinet
Keine Viren gefunden (0.50 Sekunden)
Kaspersky Anti-Virus
Keine Viren gefunden (3.40 Sekunden)
mks_vir
Keine Viren gefunden (0.48 Sekunden)
NOD32
Keine Viren gefunden (7.14 Sekunden)
Norman Virus Control
W32/MEWpacked.gen (0.60 Sekunden)

Hallo,

checke trotzdem mit eScan AntiVirus gegen und poste uns die Virus Log Information:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Zitat:

ich benutzte onlinebanking, deshalb ist es mir wichtig das alles okey ist.
aber xp neu draufspielen will ich eigentlich nicht.

Je nachdem welche Malware auf deinen System aktiv war, muss man eigentlich davon ausgehen, dass deine Passwort bekannt sind, falls Zugriff bestand.
Darum solltest Du zumindest alle verwendeten Passwörter (System, Online Banking usw.) ändern.

C:\windows\SystemTray.exe kannst du schonmal bei www.malwareupload.com hochladen.

Zitat:

Zitat von Cidre

Hallo,

checke trotzdem mit eScan AntiVirus gegen und poste uns die Virus Log Information:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.


Je nachdem welche Malware auf deinen System aktiv war, muss man eigentlich davon ausgehen, dass deine Passwort bekannt sind, falls Zugriff bestand.
Darum solltest Du zumindest alle verwendeten Passwörter (System, Online Banking usw.) ändern.

okey werde ich jetzt gleich machen.

bis jetzt hab ich es vermieden onlinebanking oder ebay zu benutzten.
ausser den passwörtern vom board hab ich nix eingegeben.

und noch was...
Die automatische Logfileauswertung hat diese Probs gefunden.
Soll ich die mit HijackThis fixen oder das eScan benutzten?

C:\windows\SystemTray.exe Böse
Laufender Prozess. (SystemTray.exe)
Added as a result of the BIGFOOT VIRUS! Note - this is not the valid SystemTray (SysTray.exe)
Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lbbw.de/lbbw-start.html Böse
Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden!

Das ist die Startseite bei IE

F2 - REG:system.ini: Shell=Explorer.exe Unbekannt
Zum eingegebenen Programm F2 - REG:system.ini: Shell=Explorer.exe haben wir folgendes Programm gefunden: .
Nicht bekanntes Programm.

O4 - HKLM\..\Run: [SysTray] SystemTray.exe Unbekannt
Trefferquote: -1 % (Resultate) Nicht bekanntes Programm.

Zitat:

Zitat von *Christian*

C:\windows\SystemTray.exe kannst du schonmal bei www.malwareupload.com hochladen.

hab ich gemacht

Hier die Virus Log Information von eScan

File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\windows\esba-4.exe infected by "Backdoor.Win32.Ruledor.e" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Martino\LOKALE~1\TEMPOR~1\Content.IE5\X0XRJYIY\ESBAdultInstaller[1].ocx infected by "not-a-virus:AdWare.ToolBar.ESB.10" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Martino\Anwendungsdaten\Mozilla\Profiles\default\lawiniu4.slt\Cache\C26D9771d01 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Martino\Anwendungsdaten\Mozilla\Profiles\default\lawiniu4.slt\Cache\D0537323d01 infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Martino\Anwendungsdaten\Thunderbird\Profiles\default.6tf\Mail\Local Folders\Inbox infected by "Trojan-Spy.HTML.Bankfraud.cm" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Martino\Anwendungsdaten\Thunderbird\Profiles\default.6tf\Mail\localhost\Inbox infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Martino\Anwendungsdaten\Thunderbird\Profiles\default.6tf\Mail\localhost\Trash infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Martino\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X0XRJYIY\ESBAdultInstaller[1].ocx infected by "not-a-virus:AdWare.ToolBar.ESB.10" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\esba-4.exe infected by "Backdoor.Win32.Ruledor.e" Virus. Action Taken: No Action Taken.
File D:\Programme\Aida32\aida32ee_393\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
File D:\Programme\Aida32\aida32ee_393\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
File D:\Programme\Aida32\aida32ee_393\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
File D:\Programme\MozBackup 1.3.2\Thunderbird 1.0.2 (en) - 25.3.2005.pcv infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
File D:\Programme\RioPort\Audio Manager\Devices\InstRio.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Programme\RioPort\Audio Manager\Setupmdm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Aufgrund des bereits aktiven Backdoor.Win32.Ruledor.e, würde ich Dir ein Neuaufsetzen deines Systems nahe legen, siehe meine Signatur.

Info zu Backdoor.Win32.Ruledor.e:
http://de.trendmicro-europe.com/ente...EDOR.E&VSect=T

Zitat:

Zitat von Cidre

Aufgrund des bereits aktiven Backdoor.Win32.Ruledor.e, würde ich Dir ein Neuaufsetzen deines Systems nahe legen, siehe meine Signatur.

Info zu Backdoor.Win32.Ruledor.e:
http://de.trendmicro-europe.com/ente...EDOR.E&VSect=T

shit. naja ... wenns sein muss.

DANKE!!!

Da mein PC mit einem Backdoor Virus infiziert war und ich Onlinbanking usw. auf dem Rechner benutzte, blieb mir nichts übrig als die Platte zu formatieren und XP neu zu installieren.

Ich hab also die Win XP CD eingeworfen und den PC von CD booten lassen.
Dann hab ich die Partitionen gelöscht, System-Partition und die anderen Partitionen auch und nur noch eine grosse Partition erstellt, dann wurde die Platte formatiert und und XP installiert ... bis jetzt ist doch noch alles richtig.

Das komische ist das XP frisch aufgesetzt ist doch im Papierkorb noch Dateien drin sind die ich noch vor der Formatierung gelöscht hab.

Warum? Eigentlich sollten ALLE Daten gelöscht sein.
Jetzt frage ich mich ob der Virus nicht auch noch da ist wenn schon Dateien im Papierkorb die Formatierung überlebt haben

Zitat:

Das komische ist das XP frisch aufgesetzt ist doch im Papierkorb noch Dateien drin sind die ich noch vor der Formatierung gelöscht hab.
Warum?

Ich kann mir bloss vorstellen, dass irgendwas bei der Formatierung schiefgelaufen ist. Ansonsten habe ich weder selbst dieses Phänomen erlebt noch darüber gelesen.

Zitat:

Eigentlich sollten ALLE Daten gelöscht sein.

Ja.

Zitat:

Jetzt frage ich mich ob der Virus nicht auch noch da ist wenn schon Dateien im Papierkorb die Formatierung überlebt haben

Zur Sicherheit solltest du nochmals mit eScan AntiVirus scannen.

Zitat:

Zitat von Cidre

Zur Sicherheit solltest du nochmals mit eScan AntiVirus scannen.

Hab ich gemacht.

Hier die Virus Log Information

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
File G:\System Volume Information\_restore{F8831CF7-F41E-4D68-A51C-F502578F5D5D}\RP17\A0000788.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File G:\My Win XP\Treiber\ThemeXP Patch\themexp_patch_2.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File G:\My Win XP\Programme\AIDA 32\aida32ee_393.zip tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
File G:\My Win XP\Programme\Cool Edit 2000\Cool_Edit_2000_Pro-Complete_Wave_Editor.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Obwohl ich die Platte formatiert hab, hat eScan Viren und Spyware gefunden.
G: ist eine USB Festplatte die nicht neu formatiert wurde, auf ihr befinden sich auch infizierte Daten.
Wie bekomme ich mein System wieder sauber?

Kann mir jm. kurz helfen?
Soll ich nochmal alles formatieren?
Die infizierten Daten auf G: kann ich die einfach so per Hand löschen?

EDIT:
Ich hab die Systemweiderherstellung ausgeschaltet und vom Laufwerk G gelöscht

Alles im grünen Bereich, du brauchst die Dateien auf G:\ nicht zu löschen, denn diese sind nicht infiziert. Es sind vielmehr 'Überbleibsel' vom Programminstallationen die ein Reboot des System nach sich ziehen.

Zitat:

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

Suche in der mwav.log mal nach den zugehörigen Registry Schlüsseln. Schau Dir auch mal diesen Thread an.