Hallo,

habe gerade mal wieder einen Virenscan durchgeführt und es wurden zwei gefunden und gelöscht (mit AntiVir).
Es scheint aber auch alles in Ordnung zu sein, außer das ich wenn der Rechner startet die meldung bekomme, dass C:\windows\system32\zoajwfopez\csrss.exe nicht gefunden wurde und nicht ausgeführt wird. Und das der eintrag aus der Registry gelöscht werden soll wenn er nicht mehr vorhanden ist.
Ich habe nun die Vermutung, das einer der Viren sich an der Registry zu schaffen gemacht hat. Kenne mich da aber gar nicht aus und trau mich deshalb nicht da irgendetwas zu löschen.
Oder hat AntiVir etwas gelöscht das nicht gelöscht werden sollte??
Danke für eure Hilfe!!

Hallo RudeGirl,
sage bitte genau was Antivir gefunden hat und wo es gefunden wurde.
Mache ein HijackThis-Log und poste es hier.Beachte die Anleitung dazu genau !
http://www.trojaner-board.de/showthread.php?t=17493
Irrlicht

Hijack mach ich gleich!!

Das ist der Report von AntiVir:

Zitat:

Erstellungsdatum der Reportdatei: Donnerstag, 23. Februar 2006 01:05


Job Name: 'Lokale Laufwerke'

Es wird nach 318319 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Helena
Computername: HELL

Versionsinformationen:
AVSCAN.EXE : 7.0.0.21 528424 31.01.2006 10:54:42
AVSCAN.DLL : 7.0.0.21 46632 31.01.2006 10:54:42
LUKE.DLL : 7.0.0.21 114728 31.01.2006 10:54:42
LUKERES.DLL : 7.0.0.21 28200 31.01.2006 10:54:42
ANTIVIR0.VDF : 6.32.0.60 4323840 06.12.2005 10:47:34
ANTIVIR1.VDF : 6.33.0.207 1160192 08.02.2006 08:09:40
ANTIVIR2.VDF : 6.33.1.4 144896 23.02.2006 00:04:18
ANTIVIR3.VDF : 6.33.1.19 31744 23.02.2006 00:04:18
AVEWIN32.DLL : 6.33.0.36 1163776 23.02.2006 00:04:18
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:54
AVREP.DLL : 6.33.1.0 2392104 23.02.2006 00:04:18
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:38
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:48


Beginn des Suchlaufs: Donnerstag, 23. Februar 2006 01:05

C:\WINDOWS\system32\zoajwfopez\smss.exe
[FUND] Ist das Trojanische Pferd TR/Spy.VB.LO
C:\WINDOWS\system32\zoajwfopez\csrss.exe
[FUND] Ist das Trojanische Pferd TR/Spy.VB.LO.1
C:\WINDOWS\system32\zoajwfopez\csrss.exe
[FUND] Ist das Trojanische Pferd TR/Spy.VB.LO.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 446efd00.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\zoajwfopez\smss.exe
[FUND] Ist das Trojanische Pferd TR/Spy.VB.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 446ffd05.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:'
[HINWEIS] Im Laufwerk 'A:' ist kein Datenträger eingelegt!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.


Die Registry wurde durchsucht ( 46 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Helena\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Helena\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Helena\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Helena\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Helena\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T8VE7NDF\unknown@hotmail[1].com
[FUND] Ist das Trojanische Pferd TR/Spy.VB.LO.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 4467fdfa.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Auf dem Datenträger befindet sich kein erkanntes Dateisystem.
Stellen Sie sicher, dass alle benötigten Dateisystemtreiber geladen sind und dass der Datenträger nicht beschädigt ist.



Ende des Suchlaufs: Donnerstag, 23. Februar 2006 01:50
Benötigte Zeit: 44:10 min

Der Suchlauf wurde vollständig durchgeführt.

4064 Verzeichnisse wurden überprüft
274779 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1198 Archive wurden durchsucht
46 Warnungen
0 Hinweise

Hijackthis log file:

Zitat:

D:\Programme\Itunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\Programme\Xfire\Xfire.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Tools\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F3 - REG:win.ini: load=C:\WINDOWS\system32\zoajwfopez\csrss.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\zoajwfopez\csrss.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QOELOADER] D:\Programme\Qurb\QSP-2.1.213.4\QOELoader.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] C:\Programme\Radeon Omega Drivers\v2.6.61\ATI Tray Tools\atitray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = D:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{57E4DD31-955D-4CAF-8CB4-81E26A819BA2}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Hallo RudeGirl,
ddiese beiden Sachen gefallen mir nicht :
F3 - REG:win.ini: load=C:\WINDOWS\system32\zoajwfopez\csrss.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\zoajwfopez\csrss.exe
ch weiß das "load" und "run" bei alten Windows-Versionen benutzt wurde.Dein XP macht das nur noch um alte Programme zum laufen zu bringen.
Dein Antivir hat es in Quaratäne gesperrt und es trojanisches Pferd genannt.Ich bekomme mit Google kein klares Ergebniss,auch die automatische Auswertung sagt alles in Ordnung.
Kurz und knapp-ich steh aufm Schlauch !
Du tust erstmal gar nix.Ich schau mal das ich einen größeren Experten(von denen hats hier reichlich) für dein Problem begeistern kann.
Irrlicht

Hallo,
das sind sehr wahrscheinlich Einträge von Malware die über die win.ini gestartet werden soll.
Überprüfe mal die Dateien 446efd00.qua und 446ffd05.qua (müssten im Quarantäneordner liegen) hier und poste das Ergebnis.


Grüße Wildone