|
Plagegeister aller Art und deren Bekämpfung: avast Win32:Hoaxalarm-M [Adw]Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.12.2005, 20:36 | #1 |
| avast Win32:Hoaxalarm-M [Adw] Hallo ihr, Ich sitze gerade auf Wunsch meines Daddys wieder einmal an seinem Rechner. Der Grund ist das er Spy Axe auf dem Rechenr hat obwohl er sagt er hat es nicht installiert. Es werden dauernd Fenster angezeigt demnach ist der Rechner infiziert. Man kann dann direkt eine Internetseite von Spy Axe öffnen. Anti Vir hat nichts gefunden da habe ich avast installiert. Es wurde auch direkt was gefunden. Mein Vater hat Systemeinträge und im Arbeitsspeicher soll auch was sein. Das einzigste was ich aus avast rauskopieren konnte ist das: Win32:Hoaxalarm-M [Adw] Danach hat sich der Rechner von selbst neu gestartet wärend der virenscan von avast noch lief. Jetzt findet avast nichts mehr. Kann mir jemand von euch weiterhelfen? Liebe Grüße, das Rose |
06.12.2005, 20:41 | #2 |
| avast Win32:Hoaxalarm-M [Adw]__________________
__________________ |
06.12.2005, 20:54 | #3 |
| avast Win32:Hoaxalarm-M [Adw] Logfile of HijackThis v1.99.1
__________________Scan saved at 20:49:22, on 06.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\Explorer.EXE G:\WINDOWS\system32\nvctrl.exe G:\WINDOWS\system32\mssearchnet.exe G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE G:\WINDOWS\system32\RunDll32.exe G:\Programme\AVPersonal\AVGNT.EXE G:\Programme\Java\jre1.5.0_04\bin\jusched.exe G:\Programme\Iomega\DriveIcons\ImgIcon.exe G:\Programme\QuickTime\qttask.exe G:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe G:\Programme\SpyAxe\spyaxe.exe G:\WINDOWS\system32\ctfmon.exe G:\Programme\Microsoft Money\System\reminder.exe G:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE G:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe G:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe G:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe G:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe G:\Programme\Microsoft Office\Office\OSA.EXE G:\Programme\Teledat\WCOM\SYSTEM\ccui.exe G:\Programme\SpyAxe\spyaxe.exe G:\PROGRAMME\AVPERSONAL\AVGUARD.EXE G:\Programme\Alwil Software\Avast4\aswUpdSv.exe G:\Programme\Alwil Software\Avast4\ashServ.exe G:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe G:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe G:\Programme\AVPersonal\AVWUPSRV.EXE G:\PROGRA~1\Iomega\System32\AppServices.exe G:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE G:\WINDOWS\System32\svchost.exe G:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE G:\Programme\Alwil Software\Avast4\ashMaiSv.exe G:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE G:\Programme\Alwil Software\Avast4\ashWebSv.exe G:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe G:\Programme\Microsoft Office\Office\OUTLOOK.EXE G:\WINDOWS\system32\MAPISP32.EXE G:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE G:\Programme\Microsoft Office\Office\WINWORD.EXE G:\Programme\Microsoft Works\MSWorks.exe G:\Programme\Internet Explorer\iexplore.exe G:\WINDOWS\system32\wuauclt.exe G:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe G:\Programme\Internet Explorer\iexplore.exe G:\DOKUME~1\SIEGFR~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - G:\WINDOWS\system32\hpB0C2.tmp O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - G:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing) O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - G:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing) O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [Iomega Drive Icons] G:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] G:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ToADiMon.exe] G:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [NAVNet] "G:\WINDOWS\system32\1024\ld5C8D.tmp" /m O4 - HKLM\..\Run: [avast!] G:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SpyAxe] G:\Programme\SpyAxe\spyaxe.exe /h O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Reminder] G:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [AntiSpyware7] "G:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0 O4 - HKCU\..\RunOnce: [CommCenter] "G:\Programme\Teledat\WCOM\SYSTEM\ccui.exe" O4 - Startup: Microsoft-Indexerstellung.lnk = G:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = G:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: WinPhone.lnk = G:\Programme\MegaSoft\WinPhone\winphone.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = G:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: Iomega QuikSync 3.lnk = G:\Programme\Iomega QuikSync 3\quiksync3.exe O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: h**p://*.billingnow.com O15 - Trusted Zone: h**p://*.reliablestats.com O15 - Trusted Zone: h**p://*.winantispyware.com O15 - Trusted Zone: h**p://*.winantivirus.com O15 - Trusted Zone: h**p://*.winantiviruspro.com O15 - Trusted Zone: h**p://*.winfixer.com O15 - Trusted Zone: h**p://*.winnanny.com O15 - Trusted Zone: h**p://*.winsoftware.com O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.stadtplan-wesel.de/database/mgaxctrl.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - G:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - G:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - G:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - G:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Iomega App Services - Iomega Corporation - G:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - G:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - Living Byte Software GmbH, München - G:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer (RVSINST) - Living Byte Software GmbH, München - G:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE Ich hoffe das is so richtig. Grüße, das Rose |
07.12.2005, 13:30 | #4 |
| avast Win32:Hoaxalarm-M [Adw] Hallo, also dieser eintrag hier: G:\WINDOWS\system32\nvctrl.exe scheint ein trojaner zu sein. weiss nicht ob es in dem fall nicht besser wäre das system neu aufzusetzen und alles ordentlich abzusichern. denn die ganzen 015 einträge gehören auch nicht dorthin. aber warte mal was andere noch dazu meinen. denn 4 augen sehen ja bekanntlich mehr als 2. gruß
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
07.12.2005, 13:59 | #5 |
avast Win32:Hoaxalarm-M [Adw] Hallo, bin auch für das Neuaufsetzen , ist nämlich nicht nur der eine Eintrag. Hier noch ein paar die mir nicht gefallen: G:\WINDOWS\system32\mssearchnet.exe G:\Programme\SpyAxe\spyaxe.exe Dann sind da noch ein paar andere Einträge die gefixt werden sollten. Aber wie ebend schon gesagt, dem Vorschlag von hoerni26 kann ich nur bei pflichten. |
07.12.2005, 14:46 | #6 |
| avast Win32:Hoaxalarm-M [Adw] Hallo Roselight, führe folgendes aus: http://www.trojaner-board.de/showthread.php?t=21709 Desweiteren fixe mit Hijackthis (Scan mit HJT, Häckchen vor Eintrag und auf Fix checked klicken) am besten in abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html: alle 015-Einträge Poste bitte die entspr. Logfile, insbesondere die "smitfiles.txt". dartus @hoerni26 und JayP, eine Neuinstallation ist zwar immer gut, aber in diesem Fall nicht zwingend erforderlich.
__________________ --> avast Win32:Hoaxalarm-M [Adw] |
07.12.2005, 14:50 | #7 |
| avast Win32:Hoaxalarm-M [Adw] @dartus ist schon klar,das es auch ohne klappt. nur ich bin gern immer auf der sicheren seite. deshalb der vorschlag. gruß
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
Themen zu avast Win32:Hoaxalarm-M [Adw] |
angezeigt, anti, anti vir, arbeitsspeicher, avast, dauernd, direkt, fenster, gestartet, grund, infiziert., interne, internetseite, konnte, neu, nichts, scan, seite, spy, träge, vater, virenscan, von selbst, weiterhelfen, win, win32, wunsch, wärend |