Hi

Ich hab einige Probleme mit meinem PC. Ich hoffe ihr könnt mir helfen

1. Ich bekomme von meinem AntiVir Guard immer wieder die Meldung dass er einen Trojaner namens Click.526 gefunden hätte. Wenn ich dann auf Löschen klicke kommt die Meldung gleich nochmal. Dannach ist dann ne Weile Ruhe.

2. Mein Windows Explorer stürzt immer wieder ab. Ich muss ihn dann mit dem Taskmanager beenden.

3. Wenn ich im Internet bin oder war taucht rechts unten immer wieder ein gelber Ballon mit einer Sprechblase, in der steht:

Your computer might be at risk

-Your virus protection status is bad
-Spyware activity detected wurde.

Click this balloon to fix this problem


4. Außerdem kommt wenn ich im Internet bin oder war immer wieder eine fehlermeldung namens Windows Security Center auf, in der so was ähnliches wie in der gelben Sprechblase steht.

5. Und als letztes stimmt mein Mauszeiger manchmal nichtmehr. Ich glabe dass passiert manchmal wenn ich auf die leiste ganz oben im im fenster klick. Dann wird der Zeiger manchmal zu den 4 Pfeilen wie wenn ich ein fenster verschieben würde. Gerade ist es so dass der ganz normale Zeiger und die Sanduhr und alles stimmt und nur wenn ich hier im Textfeld bin wo eigentlich der senkrechte strich sein müsste werden die 4 Pfeile angezeigt. Da bin ich mir aber nicht sicher ob das ein Virus ist oder irgent ein Windows Fehler.


Hier ist mein HijackThis Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 14:11:47, on 05.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\AntivVir\AVPersonal\AVGUARD.EXE
C:\AntivVir\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Scanner\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\AntivVir\AVPersonal\AVSched32.EXE
C:\PowerDVD\PDVDServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\rundll32.exe
C:\Sicherheit\ZoneAlarm\zlclient.exe
C:\AntivVir\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
C:\Bildbearbeitung\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dennis\Eigene Dateien\Downloads\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://home.arcor.de/dittmar.***/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R3 - URLSearchHook: (no name) - {6AE268E0-7972-315B-4750-5EDD6DEA5465} - scanSYS.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HP Lamp] "C:\Scanner\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVSCHED32] C:\AntivVir\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [cmon14] 34763.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Sicherheit\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\AntivVir\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Brennprogramme\Nero\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [sbin] vxdman.exe
O4 - HKCU\..\Run: [backd] WinInitDll.exe
O4 - HKCU\..\Run: [prgsys0984] PasswdMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Bildbearbeitung\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9EB2D0-5017-4A04-9579-B030BE38240B}: NameServer = 69.50.176.198,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{F64A76DF-AF22-4E2F-9840-AEBEC1F6F539}: NameServer = 69.50.176.198,85.255.112.12
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\AntivVir\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\AntivVir\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: hpdj - HP - C:\DOKUME~1\Dennis\LOKALE~1\Temp\hpdj.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Ich hoffe ihr könnt mir helfen.

Und bitte nicht so viel Downloads, da ich nur eine Modemverbindung hab.

Bitte helft mir.

Zitat:

Und bitte nicht so viel Downloads, da ich nur eine Modemverbindung hab.

... wenn du "geholfen werden" ( ) willst, dann musst du schon auf rätschläge "hören". also wenn du zb einen "escan" machen "sollst", musst du ja irgentwie an das prog ran kommen. ... egal

du brauchst auf jeden fall das sp2.

... kann man aus dem i-net laden, aber du hast modemverbindung - dauert sehr (sehr) lange.
oder du, oder bekannte, haben es auf cd irgentwo "rumliegen",. dann wäre es einfacher.
gibts aber auch auf heft-cd´s. (ich zb hab´s von computerbild ...)

zur auswertung wird dir sicher noch einer was sagen. (kanns noch nich )

*edit* (!nur info!)du hast viele autostart einträge. nicht alles muss mitlaufen. infos zu dem thema gibts überall im netz oder board. *edit*

Hi

Ich mein ja nicht keine downloads sondern nicht so viel
Ich hab auch schon foren gesehen da hies es erstmal lad dir das und das und das und... mal runter und lass es laufen

Zu SP2
Hab ich auch schon überlegt, aber ich hab wo gelesen dass viele Spiele damit nichtmehr laufen. Weist du da was genaueres?

Und Danke für den Tip mit den autostarts. Werd mich drum kümmern.

MfG Hammerhai

Zu SP2
Hab ich auch schon überlegt, aber ich hab wo gelesen dass viele Spiele damit nichtmehr laufen. Weist du da was genaueres?

wenn dein pc aber nicht mehr läuft (weil du dir was einfängst), ist auch kein spiel mehr möglich.
sp2 ist dazu da, um dein system, das ja noch veraltet ist, zu aktualisieren, damit fehler im windows behoben werden, welche ja sonst ein grosses sicherheitsrisiko sind.
also ein muss.
zu den spielen - sp2 setzt (kanns selbst nicht genau erklären) limits zur verbindung ins internet, die verhindern sollen, dass ein virus (wenn vorhanden), sich nicht "so schnell" verbreiten kann.
aber - man kann diese "behinderungen" wieder ändern.
also dürfte es dich nicht daran hindern, online zu zocken, oder spiele überhaupt zu spielen.

Zitat:

Und Danke für den Tip mit den autostarts. Werd mich drum kümmern.

aber nicht wild drauf los

aber denk dran - ich kann das log-auswerten nicht - ist also noch nicht geklärt

Lasse diese Datei

C:\WINDOWS\System32\wdfmgr.exe

hier prüfen:
http://virusscan.jotti.org/de/

Es könnte der sein:
http://www.sophos.de/virusinfo/analy...2agobottb.html

@felix1,

die Datei ist sauber, das solltest nach der letzten Prfundg wissen:

http://www.hijackfree.de/de/processdetails/?id=29

dartus

Deine Probleme resultieren daraus:

Logfile of HijackThis v1.99.1
Scan saved at 14:11:47, on 05.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Schon mal was von SP2 und updatese gehört?

Wenn die Prüfung der von mir genannten Datei negativ ausfällt, mache einen escan und poste das mit der find.bat erzeugte Log. Halte Dich genau an die Anleitung:
http://www.trojaner-board.de/showthread.php?t=17492

@Dartus
Moin, moin

Einer von beiden lügt, hj-free oder Sophos. Naja schauen wir mal.

Erstmal danke für die hilfe

Der scann von wdfmrg.exe hat nichts ergeben

eScan lade ich mir morgen runter. Das dauert 1h 11min

SP2 wed ich mir demnächst auch besorgen.

MfG
Hammehai

Dass AntiVir

C:\WINDOWS\SYSTEM32\RDSNDIN.EXE

Ist das Trojanische Pferd TR/Click.526

meldet kommt übrigens immer wenn ich ins Internet gehen. Wenn ich die Datei dann http://virusscan.jotti.org/de/ prüfen lassen will zeigt der den Fehler "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

Hi

Ich hab ein Forum gefunden wo sie mein Problem schon kenne und es jetzt beheben.

Trotzdem nochmal danke für die Hilfe

Hammerhai

Nachdem ich den gleichen Trojaner an Bord habe, wäre meine Frage, ob und wie du das Problem gelöst hast. Meinst du, du kannst mir helfen - komme hier im Forum leider nicht wirklich weiter...

Besten Dank.

MattyMesser.