hi ihrs,
ich hab nen trojaner problem, was eigenltich kein problem ist, da immer, wenn er sich sleber instaliert, av in wieder runter macht, aber ich krieg halt alle 3, oder 4stunden die meldung von av, das er wieder druff is...
und wenn ich im abgesicherten modus scane wird nichts gefunden...
hier ma der log
************************************************************

Logfile of HijackThis v1.99.1
Scan saved at 10:03:06, on 09.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Daily Weather Forecast\weather.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Karna\Razer\razertra.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Karna\Razer\razerofa.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\wlm.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Dokumente und Einstellungen\Fidel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.ballz.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Programme\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [razertra] C:\Programme\Karna\Razer\razertra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "D:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = ?
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119469278390
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe


************************************************************

hoffe ihr könnt mir helfen... heut abend is lan, und will da unten nichts einschleppen, da haben nich alle nen virenscan druff ^^
ciao

Hallo,

wenn du uns noch den Trojaner genannt hättest, der von der AV Anwendung moniert wurde, dann wären wir um einiges schlauer.

Wende diese Vorgehensweise und dies an.

Zitat:

Zitat von Cidre

Hallo,

wenn du uns noch den Trojaner genannt hättest, der von der AV Anwendung moniert wurde, dann wären wir um einiges schlauer.

Wende diese Vorgehensweise und dies an.

ja, das problem is, das die meldung in unregelmäsigen abständen kommt, und das scho seit ~2 wochen, und ich resignierte, und sie irgendwann einfach nurnoch wegklickte... *g*
so, hier ma der report vom 7ten:[av]
.....................................................................
7.7.2005,15:09:24 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.alr.1!
C:\DOKUME~1\FIDEL\LOKALE~1\TEMP\1369.EXE
[INFO] Die Datei wurde gelöscht!
7.7.2005,16:09:30 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.alr.1!
C:\DOKUME~1\FIDEL\LOKALE~1\TEMP\15555.EXE
[INFO] Die Datei wurde gelöscht!
7.7.2005,17:09:36 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.alr.1!
C:\DOKUME~1\FIDEL\LOKALE~1\TEMP\10123.EXE
[INFO] Die Datei wurde gelöscht!
7.7.2005,18:09:40 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.alr.1!
C:\DOKUME~1\FIDEL\LOKALE~1\TEMP\18829.EXE
[INFO] Die Datei wurde gelöscht!
7.7.2005,19:15:31 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.alr.1!
C:\DOKUME~1\FIDEL\LOKALE~1\TEMP\15395.EXE
[INFO] Die Datei wurde gelöscht!
7.7.2005,20:15:55 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.alr.1!
C:\DOKUME~1\FIDEL\LOKALE~1\TEMP\7040.EXE
[INFO] Die Datei wurde gelöscht!
......................................................................................
und der vom 8ten
8.7.2005,20:45:22 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.alr.1!
C:\DOKUME~1\FIDEL\LOKALE~1\TEMP\21659.EXE
[INFO] Die Datei wurde gelöscht!
8.7.2005,22:44:28 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.alr.1!
C:\DOKUME~1\FIDEL\LOKALE~1\TEMP\26358.EXE
[INFO] Die Datei wurde gelöscht!
..............................................................................
und der von heute:
9.7.2005,09:46:41 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.alr.1!
C:\DOKUME~1\FIDEL\LOKALE~1\TEMP\10899.EXE
[INFO] Die Datei wurde gelöscht!


######################################
der trojaner ist also der TR/Dldr.Small.alr.1

ich hab vor ne ~woche in google nichts gefunden, dann hab isch halt gelassen, da wie gesagt heut abe rlan is, und ich da den server mache gefärde ich a) den spilspass, wenn di emeldung kommt, und der server crasht, und b) die sicherheit der anderern user...
deswegen will ich des tierchen los werden *g*
ihr seht, der kommt immer in recht regelmäsigen abständen, mal stündlich, mal 2 stündig, oder aber unregelmäßig, nämlich nur einmal täglich... [hab da keinen passendne log gefunden ^^]

so, ich hoffe jetzetle könnt ihr mir helfen *g*
ciao

Ob du dein System heute noch auf der LAN benutzen kannst, ist meiner Ansicht nach fraglich. Es wird zeitlich sehr eng werden.

Lade und scanne zunächst mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

Zitat:

Zitat von Cidre

Ob du dein System heute noch auf der LAN benutzen kannst, ist meiner Ansicht nach fraglich. Es wird zeitlich sehr eng werden.

Lade und scanne zunächst mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

hi,
ich habe eigentlich das logfile posten wollen, hab aber irgendiw enich gebacken gekrigt.
ABER: ich habe dank dem scan nen ganznen eimer viren und trojaner (um genau zu sein: 24 stücken) entfernt. der trojaner, de rmir die sorgenmachte, war ein als "liver weather" programm getarntes pferdchen. hab die regs geclient und den müll runter gehaun, nach dem, hat der scan keine mehr gefunden, und ich wurde auch bisher verschönt.

auf der lan war, sie war aber virenverseucht... aber NICHT von mir *g*
naja, win 2k viren interesieren mich xp user nich ^^ is auf lans immer nett, wenn nen neuer kommt, sich ins netz einklinkt und ne minute später jeder win 2k rechner nach und nach runterfährt ;-)

thx für die hilfe, hab den scan nich gekannt, und denke, dass ich mit dem seiner hilfe absofort mit meinen "untermietern" feddich werden sollt.
ciao

Zitat:

naja, win 2k viren interesieren mich xp user nich

Die interessieren dich genauso, da beide NT basierte Systeme sind, nur dürfte dein Rechner im Gegensatz zu anderen voll gepatcht sein.

Zitat:

thx für die hilfe, hab den scan nich gekannt, und denke, dass ich mit dem seiner hilfe absofort mit meinen "untermietern" feddich werden sollt.

Bevor du dich auf grundsätzlich nur auf eine AV Anwendung fixierst, was sicherheitstechnisch grober Unfung ist, solltest du die gegebenen Tipps im 'Neuaufsetzen Link' in meiner Signatur abarbeiten.