Hallo,

ich habe den Anhang einer Email mit dem Betreff: Klassentreffen geöffnet. Da ich vor wenigen Tagen wirklich ein Klassentreffen hatte und der Name der unterzeichnenten Person auch noch stimmte. Problem:
AntiVirPE, Trojaner-Tool startet nicht mehr. Es kommt lediglich eine MeldungMS-Update-Seite wird nicht mehr gefunden.

Vielleicht gibts hier Abhilfe.
Danke

Servus, tobi_schr!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493
Dann sehen wir weiter
cu, stupormundi

Zitat:

Zitat von tobi_schr

Hallo,

ich habe den Anhang einer Email mit dem Betreff: Klassentreffen geöffnet. Da ich vor wenigen Tagen wirklich ein Klassentreffen hatte und der Name der unterzeichnenten Person auch noch stimmte. Problem:
AntiVirPE, Trojaner-Tool startet nicht mehr. Es kommt lediglich eine MeldungMS-Update-Seite wird nicht mehr gefunden.

Vielleicht gibts hier Abhilfe.
Danke

sei ehrlich... du hast'n bissl wild drauflos geklickt...

der anhang war sicherlich eine zip-datei ;o) und daderdrinnen war eine variante des sober-wurms. antivir meckert das zwar nicht beim empfang der mail an, wohl aber beim öffnen des anhangs... beim nächsten mal anhang ungeöffnet abspeichern und dann vom virenscanner untersuchen lassen. gutes indiz war auch der eigentliche adressat im e-mail-kopf. da stand bei mir bspw user@arcor.de und das war definitv nicht meine eigene e-mail-adi ;o)

vorschlag: systemwiederherstellung deaktivieren, antivir deinstallieren, system von sauberer cd aus untersuchen lassen (du hast doch eine cd für solche fälle...?), neustart und dann antivir neu aufspielen.

Du wirst Dir wohl dies hier eingefangen haben...
http://securityresponse.symantec.com...ober.q@mm.html

Also mein Vater hat heute die gleiche mail gehabt und auch geöffnet.
Jetzt hab ich mal den Mcafee stinger drüber laufen lassen und der findet den W32/sober.r@MM virus. Dieser befindet sich hier c:\windows\connectionstatus\services.exe


Der Virus hat gleich mal Antivir deaktiviert.
Wenn ich jetzt die services datei lösche oder aus dem autostart per msconfig rauslösche oder versuche per regedit zu entfernen taucht die Datei immer sofort wieder auf.
Habs jetzt mal im abgesicherten modus gelöscht und jetzt ist die datei auch weg. Doch ein kleines Problem bleibt.
Antivir geht immer noch net und wenn ich windows hochfahre kommt die windowsmusik und der willkommensbildschirm aber es geht dann nicht mehr weiter. Erst wenn ich auf Enter klicke gehts weiter, das war bisher noch net. (Edit: also nach langer zeit gehts dann auch automtisch weiter)

Hier mal die hijack log datei:

Logfile of HijackThis v1.99.1
Scan saved at 11:52:19, on 06.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
R3 - Default URLSearchHook is missing
O1 - Hosts: 169.254.25.50 HP000D9D03CA31
O1 - Hosts: 169.254.25.50 HP000D9D03CA31
O1 - Hosts: 169.254.25.50 HP000D9D03CA31
O1 - Hosts: 169.254.25.50 HP000D9D03CA31
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A26CA920-9DA6-4997-8641-32A1B06AB362}: NameServer = 194.25.2.129,194.25.2.130
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[edit]
links entfernt
[/edit]

ich fühle mit dir!!!!!!
und ich habe keine internetverbindung mehr seither und keine ahnung, was zu tun ist nun

Bei meinem Vater ging das Internet auch nicht mehr.

Ich hab jetzt einfach die systemwiederherstellung benutzt und danach hat alles wieder funktioniert. [Start->alle programme->zubehör->systemprogramme->systemwiederherstellung

Die Sicherung war zwar 4 Wochen aber das war kein Problem.

Zitat:

Zitat von joe82

Bei meinem Vater ging das Internet auch nicht mehr.

Ich hab jetzt einfach die systemwiederherstellung benutzt und danach hat alles wieder funktioniert. [Start->alle programme->zubehör->systemprogramme->systemwiederherstellung

Die Sicherung war zwar 4 Wochen aber das war kein Problem.

glücklich der, der eine systemsicherung hat. ich habe leider keine, insofern ist auch das kein weg für mich...

Wo ist denn das Problem, Tool laden:
http://securityresponse.symantec.com...tool.html?Open