Hi hab wie gesagt mein Systtem bzw meine 1 von 3 Partitionen neu aufgesetz.. Jetzt bekomme ich aber Runtime errors von xp über clinstaller.exe und a.exe usw das hatte ich vorher noch nicht. Außerdem erkennet nortan antivir03 ein virus wenn ich von partition 2 highjack this starten will..

Für alle Hilfen bin ich im vorraus dankbar. Ich weiß diese Forum echt zu schätzen

Hallo,

Zitat:

Runtime errors von xp über clinstaller.exe und a.exe

Das sieht mir wieder nach neuer Malware aus.
Entweder hast du dir schon wieder neue Malware installiert oder diese schlummerten noch auf deinen anderen Partitionen oder die Anleitung wurde nicht genau befolgt!

Zitat:

Außerdem erkennet nortan antivir03 ein virus wenn ich von partition 2 highjack this starten will

Als was wird HJT erkannt?

Poste zunächst nochmal ein aktuelles Log-File.

Dannn muss ich erst nochmal kurz highjack runterladen.... das hängt sich nämlich auf mom

Sollte die Erstellung des HJT Log-Files wieder nicht möglich sein, dann führe dies im abgesicherten Modus durch.

So hier jetzt
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Deutsche Telekom\SurfUSB\DiTask.exe
C:\Programme\Deutsche Telekom\SurfUSB\Divamon.exe
C:\Programme\Deutsche Telekom\SurfUSB\watch.exe
C:\Programme\Deutsche Telekom\SurfUSB\cgserver.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\wincfgkop9.exe
C:\WINDOWS\System32\psecure.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Deutsche Telekom\SurfUSB\diinfo.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Symantec\LiveUpdate\LUALL.EXE
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\WEBDE\SmartSurfer3.0\SmurfUpd.exe
C:\WINDOWS\lsass.exe
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oleco.de/einwahl.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Deutsche Telekom\SurfUSB\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Deutsche Telekom\SurfUSB\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] C:\Programme\Deutsche Telekom\SurfUSB\watch.exe
O4 - HKLM\..\Run: [CGServer] "C:\Programme\Deutsche Telekom\SurfUSB\cgserver.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\Run: [Provan Security] psecure.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\RunServices: [WinConfig9324] wincfgkop9.exe
O4 - HKLM\..\RunServices: [Provan Security] psecure.exe
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EE4DFAA-12B2-41A6-8705-256737F15A18}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EE4DFAA-12B2-41A6-8705-256737F15A18}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Microsoft Registry Viewer (dumpreg) - Unknown owner - C:\WINDOWS\dumpreg.exe
O23 - Service: Windows lsass Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Hab in c: diese Programme entdeckt a.exe slinstaller.exe.clear.exe.und clearlogs.exe

Poste bitte mal ein komplettes Logfile.

Da tummeln sich schon wieder nette Gesellen auf deiner Festplatte...
So wie es aussieht wirst du ohnehin nicht um ein Neuaufsetzen bzw. sauberes Image zurückspielen rumkommen.

Scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

Hatte den scanner schon aufm rechner und dann auch alles so gemacht wie es in der Anleitung steht ... update usw... aber dann konnte ich die exe nicht mehr starten im abgesicherten Modus... Das heißt ich kann keinen neues log anbieten. Soll ich es mir nochmal runterladen?????

Was passiert denn bei der Ausführung von eScan (Fehlermeldung oder dergleichen)?

Überprüfe [1] mal folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\WINDOWS\System32\wincfgkop9.exe
C:\WINDOWS\System32\psecure.exe
C:\WINDOWS\lsass.exe

[1] Zuerst die o.g. laufenden Prozesse beenden, wenn möglich, und dann überprüfen.

ich kann die exe starten aber nach ner zehntel sekunde geht sie wieder zu. Im normalen modus geht es aber. lsass.exe ist angeblich sauber aber die anderen beiden finde ich nicht bei s32 obwohl ich mir versteckte und system ordner anzeigen lasse

Diese C:\WINDOWS\lsass.exe ist mit Sicherheit nicht sauber, da hast du wahrscheinlich die falsche überprüft.
Kopiere einfach den kompletten Pfad der o.g. Dateien, übertrage dies in das Eingabefeld und klicke anschließend auf 'Überprüfen'.

Sollte auch hier keine Überprüfung möglich sein, dann trenne die I-net Verbindung bzw. ziehe das Netzwerkkabel und scanne mit eScan.

Entschuldigen aber ich spreche nur ein bisschen Deutsch. Dieses antwort ist in Englisch...

I have just been doing some work for a company in England that has been attacked by a virus/worm similar to that which is shown in your HijackThis logfile. You'll need to run HijackThis and ask it to remove the following entries then reboot:
O4 - HKLM\..\Run: [Provan Security] psecure.exe
O4 - HKLM\..\RunServices: [Provan Security] psecure.exe

You may also find that some of the Norton/Symantec anti-virus entries are fake but that's harder to determine as it depends on the version + configuration as to what should be present.

I would remove the psecure entries to start with and see if this solves your problem/removes the virus. It's something that Symantec and McAfee haven't been able to pick up as yet.

Alright i´ll try it. thx Aber hier noch das Ergebnis von escan...
Nach einer Woche wie kann das denn sein????

File C:\WINDOWS\system32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.
Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object
"C:\WINDOWS\System32\pxwma.dll". Action Taken: No Action Taken.
Entry
"HKCR\CLSID\{2B7E6AA9-C4FA-4951-815B-4AFE39D81453}" refers to invalid object
"C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken.

FileC:\WINDOWS\eoxinb.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.

File C:\WINDOWS\installer_SIAC.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\Nail.exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.

File C:\WINDOWS\ucmoreiex.exe tagged as "not-a-virus:AdWare.ToolBar.Ucmore.a". Action Taken: No Action Taken.

File C:\WINDOWS\System32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\System32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\System32\msbe.dll tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.
File C:\WINDOWS\System32\psecure.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\System32\wincfgkop9.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.

File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\KST0QI4A.dll tagged as "not-a-virus:AdWare.Sahat.w". Action Taken: No Action Taken.

File C:\WINDOWS\system32\config\SYSTEM~1\LOKALE~1\TEMPOR~1\Content.IE5\H6V275LU\clearlog[1].rar tagged as "not-a-virus:AdWare.WinAD.ai". Action Taken: No Action Taken.

File C:\clearlog.exe tagged as "not-a-virus:AdWare.WinAD.ai". Action Taken: No Action Taken.

File C:\clearlogs.exe tagged as "not-a-virus:AdWare.WinAD.ao". Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temp\KST0QI4A.dll tagged as "not-a-virus:AdWare.Sahat.w". Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89W58JXP\1[1].txt tagged as "not-a-virus:AdWare.SmartPops.c". Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQM5GZC0\package_adp_SIAC[1].exe tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.

File C:\ftplog.exe infected by "Trojan-Downloader.Win32.Small.aqt" Virus! Action Taken: No Action Taken.

File C:\Programme\cdmweb\vauassnskv.exe tagged as "not-a-virus:AdWare.SmartPops.c". Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\1E0D799C.js infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\2F033813 infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\365F59FA infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\528A6590.exe infected by "Backdoor.Win32.SdBot.xd" Virus! Action Taken: No Action Taken.

File C:\Programme\TheSearchAccelerator\IUCmore.dll tagged as "not-a-virus:AdWare.ToolBar.Ucmore". Action Taken: No Action Taken.

File C:\Programme\TheSearchAccelerator\UCMTSAIE.dll tagged as "not-a-virus:AdWare.ToolBar.Ucmore.a". Action Taken: No Action Taken.

File C:\remove.exe infected by "Trojan-Downloader.Win32.IstBar.is" Virus! Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D8602487-626F-4BF4-A19D-6258FCB3751B}\RP1\A0000001.sys infected by "Trojan.Win32.Rootkit.l" Virus! Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D8602487-626F-4BF4-A19D-6258FCB3751B}\RP1\A0000006.sys infected by "Trojan.Win32.Rootkit.l" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\eoxinb.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.

File C:\WINDOWS\installer_SIAC.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus! Action Taken: No Action Taken.

FileC:\WINDOWS\Nail.exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.

File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H6V275LU\clearlog[1].rar tagged as "not-a-virus:AdWare.WinAD.ai". Action Taken: No Action Taken.

File C:\WINDOWS\system32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\system32\msbe.dll tagged as "not-a-virus:AdWare.BargainBuddy.n". Action Taken: No Action Taken.

File C:\WINDOWS\system32\psecure.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\system32\wincfgkop9.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\Temp\Del33.tmp infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\Temp\i2F.tmp tagged as "not-a-virus:AdWare.SurfSide.j". Action Taken: No Action Taken.

File C:\WINDOWS\Temp\nstB2.EXE tagged as "not-a-virus:AdWare.SmartPops.c". Action Taken: No Action Taken.

File C:\WINDOWS\ucmoreiex.exe tagged as "not-a-virus:AdWare.ToolBar.Ucmore.a". Action Taken: No Action Taken.

File C:\WINDOWS\eoxinb.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.

File C:\WINDOWS\installer_SIAC.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus! Action Taken: No Action Taken.

File C:\WINDOWS\Nail.exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.

File C:\WINDOWS\ucmoreiex.exe tagged as "not-a-virus:AdWare.ToolBar.Ucmore.a". Action Taken: No Action Taken.

Hi,

ich hatte genau das gleiche Problem wie du.
Und zwar schlichen sich a.exe und slinstaller.exe in meinen PC ein.

Das Sytem wurde total lahm manchmal erhielt ich auch Abstürze mit anschliessendem Bluescreen, zudem war meine Internet Verbindung total lahm und selbige wurde nach einer bestimmten Zeit beendet.

Ich hatte eine ältere Antivir-Version auf dem PC installiert, so dass die beiden nicht erkannt wurden. Es handelt sich auch um relativ neue Quälgeister, google gab auch nicht viel her.

Dummerweise war es mir nicht möglich, die Version zu updaten, da ich für den Download eine gute Stunde gebraucht habe (hab' nur ISDN) und da kappten mir die Würmer/Trojaner und was ich sonst noch so alles auf dem Pc hatte, auch schon wieder die Verbindung.

Letztendlich war es mir aber noch möglich, Antivir zu updaten und so konnte ich die Würmer entfernen. Seitdem geht wieder alles, so wie es auch sollte.

@ StevenTyler
Schön beschrieben, aber auch gut gelöst?
Ich denke nicht