Hallo,
Also, mein AntiVir Guard hat den Virus Gestern entdeckt, und konnte ihn erfolgreich löschen. Danach hab ich nochmal einen Virenscan durchgeführt und er hat nichts mehr gefunden. Ist der jetzt endgültig weg, oder kann man meinen PC weiterhin ausspionieren, oder sonst was mit anstellen?

Mein HJT Log von Heute:

Logfile of HijackThis v1.99.1
Scan saved at 18:44:27, on 26.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\Ati2evxx.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\Ati2evxx.exe
D:\WINNT\Explorer.EXE
D:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe
D:\Programme\Java\jre1.5.0_01\bin\jusched.exe
D:\Programme\QuikTime\iTunesHelper.exe
D:\Programme\Save\Save.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\PowerDVD6\PDVDServ.exe
D:\WINNT\SOUNDMAN.EXE
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\WINNT\system32\internat.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Microsoft Office\Office\WINWORD.EXE
D:\WINNT\system32\cmd.exe
D:\Programme\LangenscheidtEnglisch\mte\bin\engine.exe
D:\WINNT\system32\cmd.exe
D:\Programme\LangenscheidtEnglisch\mte\bin\lexAPI.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\AVPersonal\AVWIN.EXE
C:\Proginstalls\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AS00_Gear311T] D:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\QuikTime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WhenUSave] "D:\Programme\Save\Save.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\PowerDVD6\PDVDServ.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9C3D6F-3C29-4A73-9361-59DDBBFCAC99}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe

Wäre nett wenn mir jemand hilft, vielen Dank schonmal im Voraus
Lukki

Hallo Lukki

Erstmal bin ich erstaunt über die vielen laufenden Prozesse.
Überlege selbst mal, welche du davon wirklich brauchst. Letztlich ist jeder zusätzlich laufende Prozess eine Performance-Bremse.

Wenn du zum Beispiel regsvc.exe permanent laufen lässt, ist es für einen Angreifer ein leichtes, dein Registry zu manipulieren. Auch bezweifle ich, ob du mit internat.exe ständig deine Tastatur von Deutsch auf Englisch und wieder zurück schalten mußt.

Auch kann ich mich nicht erinnern irgendwo mal gelesen zu haben, das iTunes-Anwendungen und Winamp lebensnotwendig sind. Gut, das ist alles dein Problem!

Auf deinem System läuft als permanenter Prozess save.exe. Diese Anwendung wird von vielen Programmen aus zweifelhaften Quellen ungefragt mit installiert und darum als Ad- oder Spyware klassifiziert. Du benötigst diesen Prozess mit Sicherheit nicht und du kannst ihn löschen. Am besten von gestarteter Knoppix, BartPE oder Startdisk das ganze Verzeichnis löschen. Hinterher die Einträge mit HijackThis fixen. Ebenso die beiden
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
Einträge fixen.

Sehr zu empfehlen ist auch die Ausführung des Scriptes von http://www.ntsvcfg.de/. Als w2k-Anwender mußt du allerdings ein paar Besonderheiten beachten. Also erst lesen und dann ausführen.

Auch wenn du mit dem FF und TB im Internet unterwegs bist, solltest du den IE 6 installieren.

Ja, vielen Dank, aber ich wollte eigentlich wissen ob ich noch einen Virus drauf habe, oder nicht. Und wenn ja, muss ich dann meine Festplatte formatieren und alles neu installieren, oder reicht ein überspielen des Betriebssystems?

So, vielleicht hat es ja mit folgendem zu tun:


Hallo,
ich habe schon überall nach dem problem gesucht, doch keiner hatte genau das gleiche Problem wie ich. Bei mir passierte Folgendes:
Ich surfte ganz normal im Internet, als ich plöztlich bemerkete, das ich ein anderes Hintergrundbild habe. Es war komplett blau, nur in der Mitte stand folgende Meldung:
Security warning

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) + 00010E36. Error was causednby Trojan-Spy.HTML.Smitfraud.c

System can not function in normal mode.
Please check your security settings.

Scan your PC with any avaliable antivirus/spyware remover program to fix the problem.


Ich hab dann erstmal versucht ein anderes Desktop-Hintergrundbild zu wählen, doch ich konnte nur noch den Bildschirschoner und die Farbeinstellungen ändern. Daraufhin habe ich sofort die WLan Verbindung zum Router deaktiviert und das erst kürzlich upgedatede AntiVir gestartet. Er fand einen Trojaner und noch nen Virus (Namen habe ich leider Vergesen), die er erst nach dem Neustart des PC's löschen könne, da diese Viren gelockt seien (keine Ahnung was das heißt). Ich hab den PC also runtergefahren, doch beim neustart (ich melde mich immer als Administrator an) war immernoch der blaue Hintergrund, und es kam immer die Meldung im oberen rechten teil des Bildschirmes:
Programmfehler
explorer.exe hat Fehler verursacht und wird geschlossen.Starten Sie das Programm neu.
Ein Fehlerprotokoll wird erstellt.

Die Meldung kommt also alle zwei sekunden und ich kann nichts mehr auf dem Desktop anklicken. Das einzige was ich noch machen kann, ist den Taskmanager öffnen. Selbst im Abgesicherten Modus kommt die Meldung.

Was kann ich dagegen tun? Programme downloaden kann ich ja nicht, da ich nichts auf dem Desktop nklicken kann, oder die WLan verbindung zum Router wiederherstellen kann.

Vielen Dank



Das war vor einigen Monaten und da hab ich das Betriebssystem einfach neu überspielt, dann klappte alles so wie vorher. Aber vielleicht hatte sich der Virus ja irgentwo versteckt, sich schlafen gelegt und ist dann Vorgestern wieder erwacht, keine Ahnung wo der Virus sonst herkommen könnte.
Vielleicht fällt es euch ja jetzt einfacher das Problem zu finden

Lukki

Kann mir bitte noch mal jemand einen Tipp geben?

Also ich kann nur sagen dieses Aboxinst ding hatte ich wie gesagt heute auch, anti vir hats gleich 3 mal hintereinander gefunden und ich hab immer auf löschen gedrückt. Im antivir log steht er konnte es angeblich nicht löschen aber ich finde die datei auch nirgends mehr auf meinem pc.

Naja frag mich auch ob das nun sicher ist, hab auch en thema dazu...