Hi Leute,

könnt Ihr bitte mein log checken?


Logfile of HijackThis v1.99.0
Scan saved at 20:47:06, on 28.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\KePeFi\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\KePeFi\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\KePeFi\Personal Firewall 4\kpf4gui.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\KePeFi\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe




Besten Dank

Sieht eigentlich nicht schlecht aus, aber mache mal folgendes:
Mache mal einen eScan und poste dann das Ergebnis hier.
http://www.trojaner-board.de/42731-escan-anleitung.html

Hallo,

dein Log-File sieht sauber aus.
Allerdings solltest du NIE als Administrator durch's Netz surfen und auch HJT ist veraltert.
Lese deshalb den 'Neuaufsetzen' Link in meiner Signatur und beherzige die Absicherungsmassnahmen.

Hi,
erstmal danke für die schnellen Antworten...
Da hab ich dann doch mal escan ausprobiert und festgestellt das mein Computer Viren beherbergt. ich könnte oder ...
Naja hier das log von escan:

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.

File C:\WINNT\switpa.exe infected by "not-a-virus:AdWare.Atlas.a" Virus. Action Taken: No Action Taken.

File C:\WINNT\O infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\WINNT\system32\srchbar.dll.tcf infected by "not-a-virus:AdWare.ToolBar.VB.f" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Incredifind.exe infected by "Trojan-Downloader.Win32.Keenval.n" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMPD2.tmp infected by "not-a-virus:AdWare.WebSpecial.a" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TMPD3.tmp infected by "not-a-virus:AdWare.WebSpecial.a" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Incredifind.exe infected by "Trojan-Downloader.Win32.Keenval.n" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\TMPD2.tmp infected by "not-a-virus:AdWare.WebSpecial.a" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\TMPD3.tmp infected by "not-a-virus:AdWare.WebSpecial.a" Virus. Action Taken: No Action Taken.

File C:\WINNT\switpa.exe infected by "not-a-virus:AdWare.Atlas.a" Virus. Action Taken: No Action Taken.

File C:\WINNT\system32\srchbar.dll.tcf infected by "not-a-virus:AdWare.
ToolBar.VB.f" Virus. A


Vieleicht könnt Ihr mir sagen wie ich mein Schätzchen wieder gesund kriege?
Im vorraus Danke und Pace

Lösche alle Funde von eScan manuell [1].

[1] Lade KillBox und kopiere den Pfad der Malware Datei z.B. C:\WINNT\system32\srchbar.dll.tcf -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'Ja' und ein Neustart deines Systems wird durchgeführt.

Danke Cidre,

sehr schnelle, kompetennte Hilfe!

Besten Dank aus Colonia

Bitte, gern geschehen.

Hast du dir die Absicherungsmassnahmen mal zu Gemüte geführt?

Zitat:

Zitat von Cidre

Hallo,

dein Log-File sieht sauber aus.
Allerdings solltest du NIE als Administrator durch's Netz surfen und auch HJT ist veraltert.
Lese deshalb den 'Neuaufsetzen' Link in meiner Signatur und beherzige die Absicherungsmassnahmen.

Sage niemals nie

@ felix1

Auch wenn's lustig sein soll, aber poste solche Aussagen lieber in die Taverne, denn dort gehört sowas hin.

@ll

In letzter Zeit kann man vermehrt feststellen, dass hier in den 'Technik Foren' das 'Off Topic Gefasel' zunimmt. Vielleicht kann sich der ein oder andere am Riemen reissen und dies gefälligst unterlassen oder alternativ einen dementsprechenden Thread in der Taverne eröffnen. Denn dieses zuspammen der einzelnen Threads hilft dem TO und den Helfenden nicht!