Hallo!

Heute nacht meldete Antivir folgende Funde:

12.08.2005,01:53:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.azk!
C:\WINDOWS\SYSTEM32:SNAA.DLL
12.08.2005,01:53:18 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Age.bc.19.A!
C:\WINDOWS\NETCV32.DLL
12.08.2005,01:53:19 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.bau!
C:\DOKUME~1\PM5K\LOKALE~1\TEMP\6.TMP
[INFO] Die Datei wurde überschrieben und gelöscht!
12.08.2005,02:00:28 [WARNUNG] Enthält Code des Windows-Virus W32/Nsag.B!
C:\WINDOWS\SYSTEM32\OLEEXT32.DLL
[INFO] Die Datei wurde überschrieben und gelöscht!



Hier ist das aktuelle Log vom Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 10:48:54, on 12.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\NVATray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://index.meta-spinner.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/10d8157596af04b46119/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112702355589
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F85EBB5-5519-41C4-A6D3-112203061680}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Ich hab dann eben noch den E-Scan laufen lassen, und der fand das hier:

Fri Aug 12 09:13:01 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Aug 12 09:13:31 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Aug 12 09:13:32 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Aug 12 09:14:05 2005 => Entry "HKCR\CLSID\{daa873d4-958c-453c-81ca-3fe6f3676a87}" refers to invalid object "C:\WINDOWS\System32\snaa.dll". Action Taken: No Action Taken.
Fri Aug 12 09:14:05 2005 => Entry "HKCR\CLSID\{DADDCB07-8034-4541-88A1-0B15F05861CA}" refers to invalid object "C:\WINDOWS\System32\NCTRMFile.dll". Action Taken: No Action Taken.
Fri Aug 12 09:19:24 2005 => File C:\WINDOWS\System32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:22:25 2005 => File C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Data\psshutdown.exe tagged as not-a-virus:RiskTool.Win32.PsShutdown.232. No Action Taken.
Fri Aug 12 09:25:34 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:38:20 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035879.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken.
Fri Aug 12 09:38:20 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035880.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken.
Fri Aug 12 09:38:23 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035893.exe tagged as "not-a-virus:AdWare.SaveNow.as". Action Taken: No Action Taken.
Fri Aug 12 09:38:23 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035894.exe tagged as "not-a-virus:AdWare.SaveNow.bd". Action Taken: No Action Taken.
Fri Aug 12 09:38:23 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035895.exe tagged as "not-a-virus:AdWare.SaveNow.az". Action Taken: No Action Taken.
Fri Aug 12 09:38:24 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035908.exe tagged as "not-a-virus:AdWare.SaveNow.bi". Action Taken: No Action Taken.
Fri Aug 12 09:38:30 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036040.dll tagged as "not-a-virus:AdWare.SaveNow.az". Action Taken: No Action Taken.
Fri Aug 12 09:38:31 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036045.exe tagged as "not-a-virus:AdWare.SaveNow.bi". Action Taken: No Action Taken.
Fri Aug 12 09:38:35 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036076.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken.
Fri Aug 12 09:38:35 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036077.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken.
Fri Aug 12 09:39:02 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0036614.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:39:04 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0036623.dll infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:39:04 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0036625.dll infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:39:07 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0037627.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:39:07 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0037628.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:53:58 2005 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Fri Aug 12 10:11:46 2005 => File D:\System Volume Information\_restore{A0D5D8EB-9E58-4A4F-9555-C59512B7F106}\RP51\A0021685.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken.


Eine Datei namens "intell32.exe" im Ordner Windows\System32 habe ich heute morgen auch schon gelöscht.
Ad-Aware fand mehrere Einträge von PSGuard

Ich hoffe, ihr könnt mir helfen...
Viele Grüße
Tankgirl

Du hast ein veraltetes und unaktuelles System. Dringenst SP installieren und das System updaten.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung
http://www.systemwiederherstellung-d...indows-xp.html

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Danach die Datei mwav.log im Verzeichnis C:\bases_x löschen und einen neuen escan. Halte dich genau an die Anleitung.
http://www.trojaner-board.de/showthread.php?t=17492

Sowie ein neues HJT-Log.

Hi Felix!

Wir haben Winsweep auf dem Rechner...reicht das aus, oder soll ich das Clearprog trotzdem runterladen?

LG Tankgirl

Mache wie Anleitung!

Hallo Felix!

Adaware und Spybot haben beide nichts gefunden.


Die Löschung mit Clearprog habe ich durchgeführt.


Hier ist das neue E-Scan-Log:

Sat Aug 13 08:56:40 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sat Aug 13 08:57:10 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sat Aug 13 08:57:11 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{daa873d4-958c-453c-81ca-3fe6f3676a87}" refers to invalid object "C:\WINDOWS\System32\snaa.dll". Action Taken: No Action Taken.
Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{DADDCB07-8034-4541-88A1-0B15F05861CA}" refers to invalid object "C:\WINDOWS\System32\NCTRMFile.dll". Action Taken: No Action Taken.
Sat Aug 13 08:59:47 2005 => File C:\WINDOWS\System32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sat Aug 13 09:02:32 2005 => File C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Data\psshutdown.exe tagged as not-a-virus:RiskTool.Win32.PsShutdown.232. No Action Taken.
Sat Aug 13 09:05:38 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Sat Aug 13 09:30:02 2005 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sat Aug 13 09:45:43 2005 => File D:\System Volume Information\_restore{A0D5D8EB-9E58-4A4F-9555-C59512B7F106}\RP51\A0021685.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken.


Und hier das aktuelle HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:13:26, on 13.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://index.meta-spinner.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/10d8157596af04b46119/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112702355589
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F85EBB5-5519-41C4-A6D3-112203061680}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


LG Tankgirl

Wo sind SP2 und die entsprechenden Updates?

Lasse die Datei:
C:\WINDOWS\System32\oleext.dll
hier:
http://virusscan.jotti.org/de/
prüfen.

@ Felix

schau hier

Zitat:

Sat Aug 13 09:30:02 2005 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus!

@ Gigamail
Ich will eigentlich nur sichergehen.
Ich suche die anderen Dateien.
http://www.greatis.com/appdata/d/_/_...xe_Removal.htm

Oder ein Säuberungsversuch hat diese schon eleminiert und das sind nur noch Reste.

@ Felix

nach der beschreibung ist hier IMHO der Smitfraud am Werk, da reicht es wahrscheinlich nicht nur ein oder zwei dateien zu löschen, es gehöhren jede Menge dazu. Schau auch mal hier

@ Tankgirl

Du solltest unbedingt Dein System updaten


versuche dich hier durchzuarbeiten und melde dich mit den Ergebnis von smitrem und einem neuen HJT
Die gefundenen Dateien von eScan solltest du im abgesicherten modus bei deaktivierter Systemwiederherstellung löschen

@Felix:

Die anderen Dateien waren auch da..."intell32.exe" habe ich gelöscht, ein paar andere Dateien hatte mein Mann sofort gelöscht, nachdem dieses komische Desktop-Bild erschien und Ad-Aware hat auch viele Sachen namens "PSGuard" beseitigt (unter anderem auch die Dateien "wppp.html" und "uninstIU.exe"), es sind dann wohl wirklich "nur" noch die Reste...

Zu den Windows-Updates: Unser Windows ist nicht "ganz legal"...kann ich die Updates denn einfach durchführen


@Gigamail:

Hier ist das Log von Smitrem:


smitRem log file
version 2.3
by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Pre-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~
oleext.dll

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Wininet.dll ~~~
CLEAN!


Nachdem ich nach dem DiskCleanup den PC wieder normal gestartet habe, war unsere gesamte Benutzeroberfläche anders und unser Desktop-Hintergrund blau. Außerdem startete der Antivir nicht automatisch, sondern ich musste ihn manuell aktivieren...woran lag das denn???


Diese E-Scan Funde habe ich gelöscht:
Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{daa873d4-958c-453c-81ca-3fe6f3676a87}" refers to invalid object "C:\WINDOWS\System32\snaa.dll". Action Taken: No Action Taken.
Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{DADDCB07-8034-4541-88A1-0B15F05861CA}" refers to invalid object "C:\WINDOWS\System32\NCTRMFile.dll". Action Taken: No Action Taken.
Sat Aug 13 09:05:38 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
oleext.dll wurde wohl von Smitrem gelöscht...zumindest ist sie nicht mehr da...
Wie lösche ich denn die anderen Funde (den Dialer auf Laufwerk D) und die Funde ganz oben, die keinen Pfad haben (Altnet und WhenU)???
Hat PSShutdown etwas mit den Windows-Updates zu tun und braucht nicht gelöscht zu werden???


Hier ist noch mein aktuelles HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:49:30, on 13.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://index.meta-spinner.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/10d81575...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112702355589
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F85EBB5-5519-41C4-A6D3-112203061680}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


LG Tankgirl

so, das Logfile sieht erst mal gut aus, abgesehen von SP2. Damit das Windows nicht ganz legal ist kann ich nur verurteilen Es gibt aber trotzdem die Möglichkeit die Cd zu bestellen http://www.microsoft.com/germany/win...dredirect.aspx


obwohl...hier müsste ich eigentlich aufhören

Zitat:

Nachdem ich nach dem DiskCleanup den PC wieder normal gestartet habe, war unsere gesamte Benutzeroberfläche anders und unser Desktop-Hintergrund blau. Außerdem startete der Antivir nicht automatisch, sondern ich musste ihn manuell aktivieren...woran lag das denn???

das mit dem Hintergrund ist normal, du kannst das nach dem Cleaner wieder einstellen und den Antivir versuche zu deinstallieren und danach wieder neu drauf bügeln.

Zitat:

Wie lösche ich denn die anderen Funde (den Dialer auf Laufwerk D) und die Funde ganz oben, die keinen Pfad haben (Altnet und WhenU)???
Hat PSShutdown etwas mit den Windows-Updates zu tun und braucht nicht gelöscht zu werden???

Den Dialer, sollte er noch auf dem System sein, kannst du zur Sicherheit auf Diskette speichern, wenn du nicht ausschliesslich mit DSL ins Netz gehst( zwecks Beweissicherung)
Die Einträge Altnet kannst du vernachlässigen ich glaube fast mit WhenU verhällt sich das auch so. Wenn du willst kannst du den eScan nochmal im abgesicherten Modus durchlaufen lassen, du solltest vorher die alte Logdatei löschen. Es wird dann eine neue erstellt