hallo ich bräuchte mal dringen eure hilfe...
ich hab mir den virus
Trojan-spy.win32.goldun.fs
eingefangen...in der datei c:/windows/system32/printpnp.dll...
die ich aber nirgends finden kann
ich bringe ihn mit HijackThis nicht gefixt er erscheint sofort wieder...dann wollte ich einen scan mit escan durchführen und mir die software runterladen jetzt hab ich mir in dieser datei noch einen eingefangen
behavesLike.win32.fileinfector
mit diesem progi wollte ich eigentlich mein system von den dingern befrein und bekomm noch mehr als dank fürs runterladen wenn mir jemand helfen könnte wäre ich sehr dankbar

nette grüssle tanja

PS. macht aber langsam mit dem fremdwörten...
auf dem gebiet der viren bin ich noch neu..bis jetzt hab ich es alles selber hinbekommen..aber jetzt nimmts überhand

Servus!
Gönne uns doch einen Blick auf Dein HJT Logfile!
stupormundi

hm wenn du in mit HijackThis net gefixt kriegst weil er immer wieder neu kommt
könntest du es ja mal im abgesicherten modus probieren und vorher die systhemwiederherstellung deaktivieren.

rechtsklick auf arbeitsplatzt---> eigenschaften ---> systhemwiederherstellung

dort kannst du die deaktivieren.
dann probier ihn nochmal zu fixen

mhhh..weia hört sich jetzt blöd an...aber was sind denn persönliche informationen und aktive links in dem logfile...*kopfkratz

hab da noch nie gemacht und keine ahnung

sorryyyyyyyy

Servus wieder!
Also in meiner Signatur ist zumindest beschrieben, wie Du die im Logfile aktiven links deaktivierst (http-->h**p)
Zusätzlich durchsuche Dein Log nach allen Hinweisen auf persönliche Info (Ordnernamen mit Hinweisen durch "***" unkenntlich machen)
Sollte Dir beim posten ein aktiver link (sichtbar durch blaue Schrift und unterstrichen) durchgerutscht sein, kannst Du es noch anschließend mit der "Editier"-Taste rechts unten am posting korrigieren.
Ansonsten das Log einfach mit Kopieren-->einfügen hierher kopieren!
stupormundi

naja da stehen halt links drin z.b. http://www.trojaner-board.de

diesen link siehst du gerade blau makiert und wenn du drauf klickst kommst du auf diese seite.

damit aber user net versehentlich auf die links in deinem hijackthislog klicken sollst du das wiefolgt editieren h**p://www.trojaner-board.de
diesen link siehst du nun schwarz wie die restliche schrift auch und du kannst ihn net anklicken.

was mit persöhnlichen infos gemeint is weiß ich auch net genau eventuell irgendweche links die du net in der öffentlichkeit haben willst.

schau dir das log einfach an und wenn da irgendwo dein name oder sostiges privates steht lösche ihn k?


edit: da war ich wohl bissel zu langsam;-)

ich weiss nicht was persönliche informationen sind hab jetzt einfach mal alles gepostet...sorryyyy


Logfile of HijackThis v1.99.1
Scan saved at 16:02:27, on 2.1.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
F:\Neuer Ordner\ewido anti-malware\ewidoctrl.exe
F:\Neuer Ordner\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Angela\LOKALE~1\Temp\Rar$EX00.109\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O17 - HKLM\System\CCS\Services\Tcpip\..\{67CE277D-7506-4536-8BE1-FC6694A72504}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{67CE277D-7506-4536-8BE1-FC6694A72504}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: printpnp - C:\WINDOWS\SYSTEM32\printpnp.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe
O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe
O23 - Service: ewido security suite control - ewido networks - F:\Neuer Ordner\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - F:\Neuer Ordner\ewido anti-malware\ewidoguard.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

http://www.hijackthis.de


dort kannst du es automatisch auswerten lassen;-)
auch wenn jetzt alle schreien das das programm eventuell net alles richtig erkennt ist es doch für den anfang net schlecht;-)

schreib jetzt zwar nur von der seite ab aber folgenden tipp soltest du beherzigen:

:\DOKUME~1\Angela\LOKALE~1\Temp\Rar$EX00.109\Hija ckThis.exe

Gut Laufender Prozess. (HijackThis.exe)

Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe


will heißen du solltest das programm in einen anderen ordner als den temp ordner packen;-)

danke erstmal...;-)

in der automatischen log auswertung ist es die datei
020
die widerum hab ich schon versucht zu fixen...kommt aber beim nächsten scan sofort wieder...sch...

auch ohne systemwiederherstellung

was nun???

das natürlich ungünstig.
besonderst wenn du die datei net finden kannst.
hast du schonmal geschaut ob sie eventuell versteckt ist?
gehe dazu beim ordner auf ansicht und dort setzt du ein häckchen auf
alle dateien anzeigen.

wenn du es dan immer nochnet findest bin ich mit meinem latein mehr oder weniger am ende müsstest dan auf den ratschlag von erfahreneren benutzer warten.

auserdem macht mir noch sorgen, dass der eintrag im internet anscheinend net exsistiert
zumindest net auf den seiten wo ich gesucht habe :-(
könntest höchstens die datei mit winzip oder so archivieren und online bei
http://www.kaspersky.com/de/scanforvirus
durchscannen lassen das wäre aber eher eine verzweiflungstat

ooohhhhhhhhhhhh..ich werd verrückt...

ich finde die printpnp.dll niergends aber immer so alle 10 minuten kommt die warnung meines viren wächters es wurde ein virenbefall verhindert...beim öffnen der datei sagt mir der wächter...bei welcher datei ich kann sie nicht finden...*hmpf

und im HijackThis log ist sie ja auch aufgeführt

position 020ich bekomm sie aber nicht wech

was tuuuuuuuuuuu ich blos???????????????????

wie soll ich denn die datei archivieren ... ist doch DIE system32 datei...

da kann ich doch nix dran machen oder???

naja du könntest dir bei http://www.emsisoft.de/de/
den dortigen zusätzlichen vierenscanner runterladen und dan updaten.
eventuell vermag der den vierus zu löschen.
allerdings solltest du den vierenscanner im abgesicherten modus durchführen.

mehr kann ich dir leider auchnet sagen sry

Zitat:

Zitat von brummer

wie soll ich denn die datei archivieren ... ist doch DIE system32 datei...

da kann ich doch nix dran machen oder???

öm ka sitze gerade in der uni und kann dort halt nix testen.
kannst halt schauen ob du sieh in einen anderen ordner kopiers und dan archivierst das dürfte dem systhem dan net schaden.
hoffe ich zumindes hab sowas noch nie gemacht sry

Servus wieder!
Zum killen der Datei hole Dir die - killbox.
Zum Auffinden der Datei 'c:/windows/system32/printpnp.dll' nutze die Anleitung von Rene-gad (siehe link unten in meiner Signatur). Wechsle in den abgesicherten Modus (siehe diesen *link*) und suche die Datei hier an Hand der Anleitung.
Die killbox im abgesicherten Modus öffnen, die Option 'kill on reboot' wählen, im Auswahlfenster dann diesen Pfad 'c:/windows/system32/printpnp.dll' eintippen/hineinkopieren, und rechts ok oder ähnliches klicken. Wenn Du nach 'neu starten' gefragt wirst mit ok antworten. Der PC wird nun neu gestartet und noch bevor die '*.dll' gestartet wird, wird sie gelöscht.
Lass´ anschließend mal Deinen PC bei kapersky (Princ_of_Galaxy hat Dir den link ja schon gepostet) überprüfen. Poste das Ergebnis und ein neues HJT Log.
stupormundi