Hallo zusammen

ich habe grade von meinem anti vir die meldung bekommen

C:\PROGRAMME\WINFIXER 2005\IS-AG75V.TMP

Ist das Trojanische Pferd TR/Rootkit.Age.af.1

Was kann ich machen?

habe schon versucht "zu überschreiben und dann löschen" bzw "direkt löschen" und auch "ins Quarantäneverzeichnis verschieben" aber das hilf irgendwie alles nichts....

gruß fire

Hallo Firefighter,
folge dieser Anleitung genau und poste hier das Ergebnis.
http://www.trojaner-board.de/showthread.php?t=17493
danach fogst du dieser Anleitung und postest ebenfalls das Ergebniss
http://www.trojaner-board.de/showthread.php?t=17492
rrlicht

Hallo ich hoffe ich habe das richtig gemacht ich bin bei so etwas der totale laie... Aber schonmal danke für die schnelle hilfe

Logfile of HijackThis v1.99.1
Scan saved at 21:56:58, on 09.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\Gemeinsame Dateien\Siemens\Sqlany\dbsrv7.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\Gemeinsame Dateien\Siemens\S7ubtoox\s7ubtstx.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Siemens\Sqlany\dbsrv7.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Save\Save.exe
C:\Programme\Norton CleanSweep\csinsmnt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWFX5U_0001_N56M1711NetInstaller.exe
C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp\NI.UWFX5U_0001_N56M1711\setup.exe
C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp\~WinFixer2005ScannerSetup.exe
C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp\is-GS3GI.tmp\is-GU2IM.tmp
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRAMME\AVPERSONAL\GUARDGUI.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: CoolToolbar - {FDD9DB40-368F-4c10-8E2C-139072900B7E} - C:\PROGRA~1\COOLTO~1\COOLTO~1.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [S7UB Start] "C:\Programme\Gemeinsame Dateien\Siemens\S7ubtoox\s7ubtstx.exe" -StartDB
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=041405 serial=DR12CNC-8301292-WBN lang=DE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QD FastAndSafe] C:\PROGRA~1\NORTON~1\QDCSFS.exe /scheduler
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NI.UWFX5U_0001_N56M1711] "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWFX5U_0001_N56M1711NetInstaller.exe" -nag /BEFOREINSTALL
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller Suite\UIWatcher.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro 3\AdBlocker.exe"
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CleanSweep Smart Sweep-Internet Sweep.LNK = C:\Programme\Norton CleanSweep\csinsmnt.exe
O4 - Global Startup: Mauseigenschaften.lnk = C:\WINDOWS\system32\control.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105490373627
O23 - Service: Automation License Key Service (almservice) - SIEMENS AG - C:\Programme\Gemeinsame Dateien\Siemens\sws\almsrv\almsrvx.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Hallo Firfighter,
hab ein schlechtes Gefühl.......
laß diese Datei bei Jotti scannen
C:\Programme\Save\Save.exe
hier ist der Link
http://virusscan.jotti.org/de/
Irrlicht

Hallo irrlicht
Mwavscan läuft noch
bei jotti kam folgendes raus:
Datei: Save.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Adware.SaveNow-1 gefunden
Dr.Web
Adware.SaveNow gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Adware/WhenU_Save gefunden
Kaspersky Anti-Virus
not-a-virus:AdWare.Win32.SaveNow.br gefunden
NOD32
a variant of Win32/Adware.WhenUSave application gefunden
Norman Virus Control
W32/SaveNow.CH gefunden
UNA
Keine Viren gefunden
VBA32
AdWare.Win32.SaveNow.br gefunden


ich hoffe du kannst mir helfen...

gruß fire

Hallo
kann mir jemand mal sagen wie lange E Scan braucht???? Der ist jetzt schon über 2 Stunden dran.....

Gruß Fire

hallo

EScan hat mir folgendes ausgespuckt.....

[msvLclnt.dll] [0x000001c0] 09/12/2005 22:15:26:687 :ModuleName = C:\Bases_X\mwavscan.com
[msvLclnt.dll] [0x000001c0] 09/12/2005 22:15:30:593 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x000001c0] 09/12/2005 22:15:30:593 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x000001c0] 09/12/2005 22:15:30:593 :TimeOut : ffffffff
[msvLclnt.dll] [0x000001c0] 09/12/2005 22:15:30:593 :Priority : NORMAL
[msvLclnt.dll] [0x000001c0] 09/12/2005 22:15:37:984 :VirusCount = 162781 Latest Date = 2005/12/02
[msvLclnt.dll] [0x00000280] 09/12/2005 22:17:17:671 :[00000001] File C:\Programme\Save\Save.exe infected by not-a-virus:AdWare.Win32.SaveNow.br
[msvLclnt.dll] [0x00000280] 09/12/2005 22:46:35:921 :[00000001] File C:\Dokumente und Einstellungen\****\Eigene Dateien\Software & Treiber\83492.exe infected by not-a-virus:AdWare.Win32.Quick.a
[msvLclnt.dll] [0x00000280] 09/12/2005 22:46:36:421 :[00000001] File C:\Dokumente und Einstellungen\****\Eigene Dateien\Software & Treiber\87170.exe infected by not-a-virus:AdWare.Win32.Quick.a
[msvLclnt.dll] [0x00000280] 10/12/2005 00:54:01:859 :[00000001] File C:\Dokumente und Einstellungen\****\Eigene Dateien\Software & Treiber\sontige\BSINSTALLDE.exe infected by not-a-virus:AdWare.Win32.SaveNow.z
[msvLclnt.dll] [0x00000280] 10/12/2005 00:54:22:968 :[00000001] File C:\Dokumente und Einstellungen\****\Eigene Dateien\Software & Treiber\sontige\password.exe infected by Trojan-Spy.Win32.Qeds.a
[msvLclnt.dll] [0x00000280] 10/12/2005 00:56:42:421 :[00000001] File C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\saveinstwm.exe infected by not-a-virus:AdWare.Win32.SaveNow.z
[msvLclnt.dll] [0x00000280] 10/12/2005 01:17:57:765 :[00000001] File C:\Program Files\mIRC\mirc.exe infected by not-a-virus:Client-IRC.Win32.mIRC.616
[msvLclnt.dll] [0x00000280] 10/12/2005 01:22:33:781 :[00000001] File C:\Programme\BearShare\Installer\BSINSTALLDE.exe infected by not-a-virus:AdWare.Win32.SaveNow.z
[msvLclnt.dll] [0x00000280] 10/12/2005 01:22:34:046 :[00000001] File C:\Programme\BearShare\Installer\saveinstwm.exe infected by not-a-virus:AdWare.Win32.SaveNow.z
[msvLclnt.dll] [0x00000280] 10/12/2005 01:48:26:937 :[00000001] File C:\Programme\Save\saveupdate.exe infected by not-a-virus:AdWare.Win32.SaveNow.bo
[msvLclnt.dll] [0x00000280] 10/12/2005 02:25:44:156 :[00000001] File C:\WINDOWS\NDNuninstall6_38.exe infected by not-a-virus:AdWare.Win32.NewDotNet
[msvLclnt.dll] [0x00000280] 10/12/2005 02:40:19:640 :VirusCount = 162781 Latest Date = 2005/12/02


könnt ihr mir noch helfen oder muss ich komplett neu aufsetzen??

Gruß Fire

Hallo Firefihgter,
suche dir über Google folgende Programme zusammen:
Regseeker,Spybot Search & Destroy,Ewido Security Suite,Ad-Aware SE Personal,Clear Prog 1.4.1. final.
Spybot,Ewido und AdAware updaten.
Regseeker laufen lassen mit >Registrierung säubern,lass löschen was vorgeschlagen wird,achte darauf das links unten die Sicherung angehakt ist.
Systemwiederherstellung auf allen Laufwerken deaktivieren,dann in den "abgesicherten Modus"gehen,alle drei Programme laufen lassen und löschen was vorgeschlagen wird.Neu starten,Systemwiederherstellung anschalten und Clear Prog mit allen Optionen den Müll rausbringen lassen.Danach neuer EScan und posten
Irrlicht

Ok super Danke für die Antworten

hab allerdings nun doch schon komplett neu aufgesetzt da er auch allgemein ziemlich zu gemüllt war.


Gruß Fire