Also erstmal hallo ;-)

Also manchmal meldet mir AntiVir Trojaner (meistens TR/Pakes.9). Scanne ich dann mit z.B. SpySweeper, findet dieser nichts. Manchmal aber auch irgendwelche AdWare (z.B. BargainBuddy).
Meistens meldet AntiVir die Datei mgrsts.exe als Trojaner.

Könnt ihr mir helfen braucht ihr Scan-Protokolle irgendwelcher Scans?

Ich danke euch herzlichst,
KingFlexo

Hi,

wo wurden die Übeltäter gefunden (Ordner und Pfad)?

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Büdde, dangge.


Logfile of HijackThis v1.99.1
Scan saved at 19:08:32, on 04.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\Programme\WIDCOMM\Bluetooth Software\btsendto_explorer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Opera\Opera.exe
C:\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mcm.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Free WebSite Tools.lnk = ?
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1091775098843
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe

also in deinem Log kann ich nicht's schlechtes sehen, checke mal dein System mit eScan, halte dich aber genau an die Anleitung

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "C:\bases_x" . Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung .Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus (Haken setzen bei All Local Drives und All Scan Files).Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - das geht so:

Mittels Rechtsklick --> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten.Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)

Zitat:

Zitat von Gigamail

Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

Also, am betroffenen Laptop ist der Scan gerade am laufen und es ist schon einiges gefunden worden.
Wenn der Scan beendet ist soll ich am Laptop dann wieder im normalen Modus booten, bevor die befallenen Dateien gelöscht werden? Sodass ich dann mit dem LP ins Internet kann und das Log poste und dann noch das mit dem "wieviele Viren drauf sind" machen kann?

Nochmal vielen Dank für eure Mühen,
Flexo

also erst das Ergebnis wie beschrieben posten, wenn "Befall " dann wird im abgesicherten Modus bei deaktivierter Systemwiederherstellung gelöscht, sollte ein Backdoorvirus dabei sein wirst du wahrscheinlich Neuaufsetzen müssen. Also warten wir das ergebnis mal ab

So, da haben wir das Log dann:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 19:51:25 2005 => File C:\WINDOWS\sqldata1.exe infected by "Trojan.Win32.Pakes" Virus. Action Taken: No Action Taken.
Wed May 04 19:54:08 2005 => File C:\DOKUME~1\FK\LOKALE~1\Temp\bb.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.
Wed May 04 19:55:53 2005 => File C:\DOKUME~1\FK\LOKALE~1\TEMPOR~1\Content.IE5\856RGP6R\bb[1].exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.
Wed May 04 19:56:06 2005 => File C:\DOKUME~1\FK\LOKALE~1\TEMPOR~1\Content.IE5\8DUV8PQF\package_MARKETING27[1].exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Wed May 04 20:35:45 2005 => File C:\WINDOWS\sqldata1.exe infected by "Trojan.Win32.Pakes" Virus. Action Taken: No Action Taken.
Wed May 04 20:41:39 2005 => File C:\Dokumente und Einstellungen\FK\Eigene Dateien\Eigene Downloads\DragRacer-v3-Setup.exe infected by "Trojan.Win32.Pakes" Virus. Action Taken: No Action Taken.
Wed May 04 20:46:08 2005 => File C:\Dokumente und Einstellungen\FK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\856RGP6R\bb[1].exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.
Wed May 04 20:46:22 2005 => File C:\Dokumente und Einstellungen\FK\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DUV8PQF\package_MARKETING27[1].exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Wed May 04 20:48:42 2005 => File C:\Dokumente und Einstellungen\FK\Lokale Einstellungen\Temp\bb.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.
Wed May 04 20:50:10 2005 => Scanning File C:\Dokumente und Einstellungen\FK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\INFECTED.LNK
Wed May 04 21:13:10 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed May 04 21:13:10 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\MGRSTS.EXE.zip
Wed May 04 21:13:10 2005 => File C:\Programme\AVPersonal\INFECTED\MGRSTS.EXE.zip infected by "Trojan.Win32.Pakes" Virus. Action Taken: No Action Taken.
Wed May 04 21:29:07 2005 => File C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP172\A0073398.srg infected by "not-a-virus:AdWare.BargainBuddy.q" Virus. Action Taken: No Action Taken.
Wed May 04 21:29:07 2005 => File C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP172\A0073399.exe infected by "not-a-virus:AdWare.BargainBuddy.q" Virus. Action Taken: No Action Taken.
Wed May 04 21:29:07 2005 => File C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP172\A0073400.exe infected by "not-a-virus:AdWare.BargainBuddy.q" Virus. Action Taken: No Action Taken.
Wed May 04 21:29:07 2005 => File C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP172\A0073401.exe infected by "not-a-virus:AdWare.BargainBuddy.q" Virus. Action Taken: No Action Taken.
Wed May 04 21:34:05 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 20:47:08 2005 => File C:\Dokumente und Einstellungen\FK\Lokale Einstellungen\Anwendungsdaten\{35A3A4F2-B792-11D6-A78A-00B0D0142000}\Java 2 SDK, SE v1.4.2.msi tagged as not-a-virus:JavaClass.Chart. No Action Taken.
Wed May 04 20:47:54 2005 => File C:\Dokumente und Einstellungen\FK\Lokale Einstellungen\Anwendungsdaten\{32A3A4F2-B792-11D6-A78A-00B0D0150000}\Java 2 SDK, SE v1.5.0.msi tagged as not-a-virus:JavaClass.Chart. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 21:34:05 2005 => Total Virus(es) Found: 16
Wed May 04 21:34:05 2005 => Total Errors: 49
Wed May 04 21:34:05 2005 => Time Elapsed: 01:44:50
Wed May 04 21:34:05 2005 => Total Objects Scanned: 113074
Wed May 04 19:48:10 2005 => Virus Database Date: 2005/05/04
Wed May 04 21:34:05 2005 => Virus Database Date: 2005/05/04
Wed May 04 21:36:07 2005 => Virus Database Date: 2005/05/04
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Is ziemlich unübersichtlich, also die .txt

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und lösche von Hand folgende Dateien:

C:\WINDOWS\sqldata1.exe

Datenträgerbereinigung:

Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
Windowstaste+R --> cleanmgr --> <enter>
klick bei temp
Klick bei temporary internet files
klick bei Papierkorb
ok

leere auch den Quarantäneordner von Antivir
Danach neu booten damit sollten auch C:\System Volume Information\_restore gelöscht sein
Zur Sicherheit noch mal escan im abgesicherten Modus laufen lassen lösche zuvor die Logdatei von eScan, die wird dann neu erstellt

Ich glaub es sieht ganz gut aus.
Einen erneuten eScan werd ich morgen machen (hat ja doch fast 2 Std. gedauert).
Sollte es erneute Probleme geben, komm ich zu euch zurückgekrochen.

Danke vielmals nochmal, echt großartig was ihr da macht!
Das einzige, das ich dir anbieten kann is ein imaginäres Bierchen .

Gute Nacht,
Flexo

Ich hab jetzt nochmal einen Scan gemacht:

Die Datei DragRacer-v3-Setup.exe hab ich schon gelöscht, da ich diese nicht mehr brauche.

Zitat:

Die Datei DragRacer-v3-Setup.exe hab ich schon gelöscht, da ich diese nicht mehr brauche.

die wollten wir doch auch weg bekommen, oder... -->

Zitat:

C:\Dokumente und Einstellungen\FK\Eigene Dateien\Eigene Downloads\DragRacer-v3-Setup.exe infected by "Trojan.Win32.Pakes" Virus.

C:\Dokumente und Einstellungen\FK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\INFECTED.LNK --> schein nicht so wichtig zu sein
Ansonsten sieht es gut aus
Hier noch ein paar Tips zum Windows absichern Hilfe zum Neuaufsetzen Punkte 1-12

Danke nochmal (schön langsam wirds kitschig ;-))
Ich hoffe, dass es das dann vorerst war...