Hallo,
habe mir vor drei Tagen den Trojaner eingefangen, trotz AntiVir Guard und Spybot.
Auch mit AdAware und ewido schaffe ich es nicht das Vieh zu killen.
Habe mehreres schon versucht, z.B.: System Volume Information zu löschen was mir bis auf den Change.log auch geglückt ist. Reicht aber nicht
Unter C:windows\system32\ werden immerwieder "HP****.tmp" Dateien als infiziert gemeldet, manche kann ich mit einem Antivirenprogramm löschen, am hartnäckigsten ist der HP9700.tmp.
Habe zwar keine Diplomarbeit wie Sarahlein zu verlieren, wäre aber mindestens genauso dankbar über Hilfe wie sie.
Hier ein Logfile:

4.11.2005,21:35:10 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,21:39:36 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,21:48:07 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,21:57:14 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,21:59:06 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht überschrieben und gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,22:01:57 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP9700.TMP
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
4.11.2005,22:07:15 [INFO] Stop Filter Device.
4.11.2005,22:07:16 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,10:57:36 ---------------------------------------------------------
5.11.2005,10:57:36 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,10:57:43 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,10:57:45 [INFO] Start Filter Device.
5.11.2005,10:57:45 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.0.147
5.11.2005,10:57:45 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,10:57:53 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,10:57:53 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1471.
5.11.2005,10:57:49 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPAE60.TMP
[INFO] Die Datei wurde gelöscht!
5.11.2005,11:43:11 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP37AD.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,11:46:27 [INFO] Stop Filter Device.
5.11.2005,11:46:28 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,11:47:42 ---------------------------------------------------------
5.11.2005,11:47:42 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,11:47:49 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,11:47:50 [INFO] Start Filter Device.
5.11.2005,11:47:50 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.0.147
5.11.2005,11:47:50 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,11:47:57 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,11:47:57 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa19ae.
5.11.2005,11:47:52 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA1BE.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,12:12:38 [INFO] Stop Filter Device.
5.11.2005,12:12:39 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,12:12:41 ---------------------------------------------------------
5.11.2005,12:12:41 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,12:12:41 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,12:12:42 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,12:12:42 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaabdf6b0.
5.11.2005,12:12:42 [INFO] Start Filter Device.
5.11.2005,12:12:42 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,12:12:42 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,12:18:18 [INFO] Stop Filter Device.
5.11.2005,12:18:18 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,15:15:47 ---------------------------------------------------------
5.11.2005,15:15:47 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,15:15:48 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,15:15:56 [INFO] Start Filter Device.
5.11.2005,15:15:56 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,15:15:56 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,15:16:01 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,15:16:01 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1d80.
5.11.2005,15:15:59 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPAE12.TMP
5.11.2005,16:07:44 [INFO] Stop Filter Device.
5.11.2005,16:07:44 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,17:30:39 ---------------------------------------------------------
5.11.2005,17:30:39 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,17:30:40 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,17:30:48 [INFO] Start Filter Device.
5.11.2005,17:30:48 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,17:30:48 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,17:30:52 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,17:30:52 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa150c.
5.11.2005,17:30:49 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPB390.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,18:04:01 [WARNUNG] Enthält Signatur des Windows-Virus W32/Nsag.B!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{7E084F8C-103D-4DA6-8ACF-EAD095685778}\RP579\A0164036.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,18:48:36 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.PA.4!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{7E084F8C-103D-4DA6-8ACF-EAD095685778}\RP579\A0166052.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,18:50:08 [INFO] Stop Filter Device.
5.11.2005,18:50:09 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,18:52:34 ---------------------------------------------------------
5.11.2005,18:52:34 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,18:52:35 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,18:52:43 [INFO] Start Filter Device.
5.11.2005,18:52:43 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,18:52:43 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,18:52:49 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,18:52:49 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa167d.
5.11.2005,18:52:43 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA5A6.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,18:54:30 [INFO] Stop Filter Device.
5.11.2005,18:54:31 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,18:55:46 ---------------------------------------------------------
5.11.2005,18:55:46 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,18:55:47 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,18:55:55 [INFO] Start Filter Device.
5.11.2005,18:55:55 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,18:55:55 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,18:55:59 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,18:55:59 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1b36.
5.11.2005,18:55:57 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA72C.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,18:56:40 [INFO] Stop Filter Device.
5.11.2005,18:56:41 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,18:58:01 ---------------------------------------------------------
5.11.2005,18:58:01 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,18:58:02 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,18:58:09 [INFO] Start Filter Device.
5.11.2005,18:58:09 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,18:58:09 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,18:58:14 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,18:58:14 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa183c.
5.11.2005,18:58:11 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA884.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,19:43:40 [INFO] Stop Filter Device.
5.11.2005,19:43:40 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,19:44:54 ---------------------------------------------------------
5.11.2005,19:44:54 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,19:44:55 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,19:45:03 [INFO] Start Filter Device.
5.11.2005,19:45:03 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,19:45:03 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,19:45:07 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,19:45:07 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1a5a.
5.11.2005,19:45:05 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA78A.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,20:46:23 [INFO] Stop Filter Device.
5.11.2005,20:46:24 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,21:18:07 ---------------------------------------------------------
5.11.2005,21:18:07 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,21:18:08 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,21:18:16 [INFO] Start Filter Device.
5.11.2005,21:18:16 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,21:18:16 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,21:18:21 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,21:18:21 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa181c.
5.11.2005,21:18:19 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPAA49.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,22:11:03 [INFO] Stop Filter Device.
5.11.2005,22:11:03 [EXIT] Der AVGuard Dienst wurde beendet!
5.11.2005,22:12:17 ---------------------------------------------------------
5.11.2005,22:12:17 [INIT] Der AVGuard Service wird gestarted.
5.11.2005,22:12:18 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
5.11.2005,22:12:26 [INFO] Start Filter Device.
5.11.2005,22:12:26 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
5.11.2005,22:12:26 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
5.11.2005,22:12:30 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
5.11.2005,22:12:30 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1b61.
5.11.2005,22:12:28 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPA875.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
5.11.2005,22:14:12 [INFO] Stop Filter Device.
5.11.2005,22:14:13 [EXIT] Der AVGuard Dienst wurde beendet!
6.11.2005,10:14:43 ---------------------------------------------------------
6.11.2005,10:14:43 [INIT] Der AVGuard Service wird gestarted.
6.11.2005,10:14:44 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
6.11.2005,10:14:52 [INFO] Start Filter Device.
6.11.2005,10:14:52 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
6.11.2005,10:14:52 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
6.11.2005,10:14:56 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
6.11.2005,10:14:56 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1e63.
6.11.2005,10:14:54 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPACF9.TMP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
6.11.2005,10:23:17 [INFO] Stop Filter Device.
6.11.2005,10:23:17 [EXIT] Der AVGuard Dienst wurde beendet!
6.11.2005,10:24:44 ---------------------------------------------------------
6.11.2005,10:24:44 [INIT] Der AVGuard Service wird gestarted.
6.11.2005,10:24:45 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
6.11.2005,10:24:54 [INFO] Start Filter Device.
6.11.2005,10:24:54 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
6.11.2005,10:24:55 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
6.11.2005,10:25:49 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
6.11.2005,10:25:49 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaabd69a.
6.11.2005,10:25:48 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HP74FC.TMP
[INFO] Die Datei wurde überschrieben und gelöscht!
6.11.2005,15:37:56 ---------------------------------------------------------
6.11.2005,15:37:56 [INIT] Der AVGuard Service wird gestarted.
6.11.2005,15:37:57 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
6.11.2005,15:38:05 [INFO] Start Filter Device.
6.11.2005,15:38:05 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
6.11.2005,15:38:05 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
6.11.2005,15:38:08 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
6.11.2005,15:38:08 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1f78.
6.11.2005,15:38:06 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPAAD6.TMP
[INFO] Die Datei wurde gelöscht!
6.11.2005,17:29:32 [WARNUNG] Enthält Signatur des Java-Virus JAVA/OpenStream.W!
C:\DOKUMENTE UND EINSTELLUNGEN\***\.JPI_CACHE\JAR\1.0\JAVAINSTALLER.JAR-2CB7CC7E-682B6EDA.ZIP
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
6.11.2005,19:35:24 [WARNUNG] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/Generic (Dialer)!
C:\DOKUMENTE UND EINSTELLUNGEN\***\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KFVBI4XT\CCC[1].EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
6.11.2005,20:16:47 [INFO] Stop Filter Device.
6.11.2005,20:16:47 [EXIT] Der AVGuard Dienst wurde beendet!
7.11.2005,07:09:30 ---------------------------------------------------------
7.11.2005,07:09:30 [INIT] Der AVGuard Service wird gestarted.
7.11.2005,07:09:31 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
7.11.2005,07:09:39 [INFO] Start Filter Device.
7.11.2005,07:09:39 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.32.0.57 VDF Version: 6.32.14.11
7.11.2005,07:09:39 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
7.11.2005,07:09:44 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
7.11.2005,07:09:44 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa1c8b.
7.11.2005,07:09:42 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.afj.2!
C:\WINDOWS\SYSTEM32\HPAE12.TMP
[INFO] Die Datei wurde gelöscht!

Danke schonmal und nette Grüsse
Sarah2

hi Sarah2
Hier auf der Startseite steht unter "Anleitungen,FAQ`s" unter anderem wie man ein HijackThis Log und ein E Scan Log erstellt.Schau es dir an oder drucke es aus.Beginne mit einem HijackThis Log nach der Anweisung.Da kann man mehr sehen als in dem Antivir log.
Irrlicht

o.k., habe das FAQ zwar nicht gefunden, installierte aber gestern bereits Hijackthis. Hier der aktuelle log:

Logfile of HijackThis v1.99.1
Scan saved at 10:03:53, on 07.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\securitysuite.exe
C:\WINDOWS\SYSTEM32\mssearchnet.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp9700.tmp (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: Fritz!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Ereigniserinnerung.lnk = C:\Programme\Broderbund\PrintMaster\PMREMIND.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B144DBA-7FB6-4239-A0D2-EED940B05ADA}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D15B1A89-EBF3-4EBC-BED6-698CB3764C8A}: NameServer = 192.168.121.252,192.168.121.253
O20 - Winlogon Notify: st3i - C:\WINDOWS\q14041843.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hoffe das reicht so!?
sarah2

Hi
das hier dürfte die Startseite sein die angemeckert wurde C:\WINDOWS\system32\nvctrl.exe
Laß die mal bei Jotti scannen.http://virusscan.jotti.org/de/
Irrlicht
Ps.
Hier sind die Anleitungen. http://www.trojaner-board.de/forumdisplay.php?f=23

Hallo Irrlicht,
eine genaue Anleitung fand ich leider nicht. Habe aber die Datei prüfen lassen:

Auslastung:
0% 100%
Datei: nvctrl.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE_PATCH, UPACK

AntiVir
Keine Viren gefunden
ArcaVir
Win32 gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan.Win32.StartPage.afm gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden


Zuletzt gefundene Malware war 雨花石免杀版.exe, gefunden von:

Scanner Name der Malware
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web DLOADER.Trojan
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus Backdoor.Win32.GrayBird.x
NOD32 X
Norman Virus Control X
UNA X
VBA32 Embedded.Backdoor.Win32.GrayBird.ak

Ich hoffe du kannst damit was anfangen.
sarah2

Hallo sarah2,

arbeite dies durch:
http://www.trojaner-board.de/showthread.php?t=21709

dartus

hallo,
habe alles wie von dartus verlangt gemacht. nur finde ich die find.bat nirgends.
Auch wenn ich den mwav.log öffne und nach infected oder tagged suchen lasse findet er keine Treffer?!
Jetzt poste ich erstmal die logfiles von HijackThis und smitfiles:

Logfile of HijackThis v1.99.1
Scan saved at 18:38:48, on 07.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINDOWS\system32\hp9700.tmp (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: Fritz!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: Ereigniserinnerung.lnk = C:\Programme\Broderbund\PrintMaster\PMREMIND.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B144DBA-7FB6-4239-A0D2-EED940B05ADA}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D15B1A89-EBF3-4EBC-BED6-698CB3764C8A}: NameServer = 192.168.121.252,192.168.121.253
O20 - Winlogon Notify: st3i - C:\WINDOWS\q14041843.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

und nun noch von smitfiles:


smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

msvol.tlb
mssearchnet.exe
ncompat.tlb
nvctrl.exe
mscornet.exe
oleext.dll


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

War´s das jetzt schon?
Wäre ja schon schön!

Hi
die Find.bat
findest du auf dieser Seite hier :http://www.trojaner-board.de/showthread.php?t=17492
Und zwar unter dem roten Punkt 5. Die find.bat ist blau unterlegt,mutt du runter tun,iss Direktdownload.
Irrlicht

Danke, irrlicht,

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Nov 07 14:48:34 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Mon Nov 07 14:48:34 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Mon Nov 07 14:48:34 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Mon Nov 07 14:48:34 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Mon Nov 07 14:48:34 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Mon Nov 07 14:48:34 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Mon Nov 07 14:48:34 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Mon Nov 07 14:48:34 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Mon Nov 07 16:16:23 2005 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KFVBI4XT\framemain[1].htm infected by "Trojan-Spy.HTML.Citifraud.j" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:16:23 2005 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KFVBI4XT\framemain[2].htm infected by "Trojan-Spy.HTML.Citifraud.j" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:16:23 2005 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KFVBI4XT\framemain[3].htm infected by "Trojan-Spy.HTML.Citifraud.j" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:16:23 2005 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KFVBI4XT\framemain[4].htm infected by "Trojan-Spy.HTML.Citifraud.j" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:16:23 2005 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KFVBI4XT\framemain[5].htm infected by "Trojan-Spy.HTML.Citifraud.j" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:36:11 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Nov 07 16:36:11 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0164036.DLL.VIR
Mon Nov 07 16:36:11 2005 => File C:\Programme\AVPersonal\INFECTED\A0164036.DLL.VIR infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:36:11 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\HPA5A6.TMP.VIR
Mon Nov 07 16:36:11 2005 => File C:\Programme\AVPersonal\INFECTED\HPA5A6.TMP.VIR infected by "Trojan.Win32.StartPage.afm" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:36:11 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\HPA72C.TMP.VIR
Mon Nov 07 16:36:11 2005 => File C:\Programme\AVPersonal\INFECTED\HPA72C.TMP.VIR infected by "Trojan.Win32.StartPage.afm" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:36:11 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\HPA78A.TMP.VIR
Mon Nov 07 16:36:11 2005 => File C:\Programme\AVPersonal\INFECTED\HPA78A.TMP.VIR infected by "Trojan.Win32.StartPage.afm" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:36:11 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\HPA875.TMP.VIR
Mon Nov 07 16:36:11 2005 => File C:\Programme\AVPersonal\INFECTED\HPA875.TMP.VIR infected by "Trojan.Win32.StartPage.afm" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:36:11 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\HPA884.TMP.VIR
Mon Nov 07 16:36:11 2005 => File C:\Programme\AVPersonal\INFECTED\HPA884.TMP.VIR infected by "Trojan.Win32.StartPage.afm" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:36:11 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\HPAA49.TMP.VIR
Mon Nov 07 16:36:12 2005 => File C:\Programme\AVPersonal\INFECTED\HPAA49.TMP.VIR infected by "Trojan.Win32.StartPage.afm" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:36:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\HPACF9.TMP.VIR
Mon Nov 07 16:36:12 2005 => File C:\Programme\AVPersonal\INFECTED\HPACF9.TMP.VIR infected by "Trojan.Win32.StartPage.afm" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:36:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\HPB390.TMP.VIR
Mon Nov 07 16:36:12 2005 => File C:\Programme\AVPersonal\INFECTED\HPB390.TMP.VIR infected by "Trojan.Win32.StartPage.afm" Virus! Action Taken: No Action Taken.
Mon Nov 07 16:36:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\JAVAINSTALLER.JAR-2CB7CC7E-682B6EDA.ZIP.VIR
Mon Nov 07 16:36:12 2005 => File C:\Programme\AVPersonal\INFECTED\JAVAINSTALLER.JAR-2CB7CC7E-682B6EDA.ZIP.VIR infected by "Trojan-Downloader.Java.OpenStream.w" Virus! Action Taken: No Action Taken.
Mon Nov 07 17:52:53 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Nov 07 14:48:26 2005 => Offending Key found: HKLM\Software\kazaa !!!
Mon Nov 07 14:48:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator.***\Lokale Einstellungen\temporary internet files\content.ie5\5kh492hb\common[1].js
Mon Nov 07 14:48:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator.***\Lokale Einstellungen\temporary internet files\content.ie5\kqj3gdi2\common[1].js
Mon Nov 07 14:48:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator.***\Lokale Einstellungen\temporary internet files\content.ie5\mekir0sw\common[1].js
Mon Nov 07 14:48:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator.***\Lokale Einstellungen\temporary internet files\content.ie5\vjhz1l0t\common[1].js
Mon Nov 07 14:48:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator.***\Lokale Einstellungen\Temporary Internet Files\content.ie5\5kh492hb\common[1].js
Mon Nov 07 14:48:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator.***\Lokale Einstellungen\Temporary Internet Files\content.ie5\kqj3gdi2\common[1].js
Mon Nov 07 14:48:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator.***\Lokale Einstellungen\Temporary Internet Files\content.ie5\mekir0sw\common[1].js
Mon Nov 07 14:48:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Administrator.***\Lokale Einstellungen\Temporary Internet Files\content.ie5\vjhz1l0t\common[1].js
Mon Nov 07 14:48:35 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\exe- ordner\programme\aida
Mon Nov 07 14:48:36 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\lustiges\wahl-hilfe\sw
Mon Nov 07 14:48:36 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\lustiges\wahl-hilfe\wahl-hilfe\sw
Mon Nov 07 14:48:36 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\sicherungen\sicherung1\exe- ordner\programme\aida
Mon Nov 07 14:48:37 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\sicherungen\sicherung2\lustiges\wahl-hilfe\sw
Mon Nov 07 14:48:37 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\sicherungen\sicherung2\lustiges\wahl-hilfe\wahl-hilfe\sw
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Nov 07 17:52:53 2005 => Total Virus(es) Found: 30
Mon Nov 07 17:52:53 2005 => Total Errors: 355
Mon Nov 07 17:52:53 2005 => Time Elapsed: 03:04:13
Mon Nov 07 17:52:53 2005 => Total Objects Scanned: 179232
Mon Nov 07 14:47:08 2005 => Virus Database Date: 2005/11/07
Mon Nov 07 17:52:53 2005 => Virus Database Date: 2005/11/07
Mon Nov 07 18:21:49 2005 => Virus Database Date: 2005/11/07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

habe ich jetzt immer noch 30 Viren?

sarah2

Ewido und Spybot updaten.
Regseeker suchen mittels Google,laden und >Registrierung säubern
Antivir löschen oder wenn gekauft,die Qurantäne oder Ausschlußordner(ähnlicher Name) löschen
Abgesicherter Modus gehen und Ewido und Spybot laufen lassen,lösche was sie vorschlagen.
Danach HijackThis zur Kontrolle-da wo du das Log kopiert hast vorher löschen,nicht den Ordner -den Inhalt.
Irrlicht

Wichtig: Temporäre Internetdateien mit www.clearprog.de löschen.

Zitat:

Zitat von irrlicht

Antivir löschen oder wenn gekauft,die Qurantäne oder Ausschlußordner(ähnlicher Name) löschen

@sarah2
Leere diesen Ordner -> C:\Programme\AVPersonal\INFECTED

Habe die temporären Internetdateien mit dem Programm gelöscht, AntiVir deinstalliert, nur befindert sich im Avpersonal-Ordner nur AVUNINST.
Sollte ich da draufklicken zum entfernen?
Übrigens ging heute noch kein IE-Fenster auf
Ihr seid echt gut!

Hallo sarah2,

die Deinstallation von Antivir war absoluter Blödsinn!
Installiere das Programm wieder.

dartus

Danke, bin eben dabei. Das erklärt auch wieso nur noch eine Datei zu sehen war.
Nach dem Update und dem Scannen werde ich den INFECT-Ordner leeren.
Ich hoffe nur bis dahin passiert nichts.
sarah2

Hallo sarah2,

sichere darüberhinaus Dein System entspr. der Hier beschriebenen “12 Punkte” ab.

dartus