Achso .. also es kann einfach so passieren, dass so ein müll wieder beim neustart da is? ja dann is ja ok ^^

also ich hab ja die

C:\mirc\mIRC.rar

ma scannen lassen. hier das ergebnis!

Jotti sagt:
ntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Program.mIRC.616 gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
not-a-virus:Client-IRC.Win32.mIRC.616 gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden


Virustotal sagt:
AntiVir no virus found
Avast no virus found
AVG no virus found
Avira no virus found
BitDefender no virus found
CAT-QuickHeal ClientIRC.mIRC.616 (Not a Virus)
ClamAV no virus found
DrWeb no virus found
eTrust-InoculateIT no virus found
eTrust-Vet no virus found
Ewido no virus found
Fortinet no virus found
F-Prot no virus found
Ikarus no virus found
Kaspersky not-a-virus:Client-IRC.Win32.mIRC.616
McAfee no virus found
NOD32v2 no virus found
Norman no virus found
Panda no virus found
Sophos no virus found
Symantec no virus found
TheHacker Aplicacion/mIRC.16
UNA no virus found
VBA32 no virus found


Zu deiner Frage ob meine Probleme immernoch auftreten: Ja, als ich zum Beispiel heut den Internet Explorer öffnete kam mir schöne Werbung entgegen geflogen =).

Bin mal gespannt ^^

gruß
genius



Ach ja: ich hab die Datei im temp ordner auch noch gescannt! Nix, die is völlig ok =)

Hallo,

hast Du den Mirc den selber installiert?
Lade datfind.bat und poste die vier Logfiles, aber nur die Dateien der letzten drei Monate.

Gruß

Schrulli

Bitte sehr =)


1.

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 2035-CD74

Verzeichnis von C:\WINNT\system32

03.04.2006 23:11 79.152 FNTCACHE.DAT
12.02.2006 15:32 36.100 SpoonUninstall-dBpowerAMP Music Converter.dat
12.02.2006 15:32 131.072 SpoonUninstall.exe
12.02.2006 15:31 33.846 SpoonUninstall-dBpowerAMP Music Converter.bmp

2.

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 2035-CD74

Verzeichnis von C:\DOKUME~1\atight1\LOKALE~1\Temp

04.04.2006 21:25 42.099 wmvEB7.tmp
04.04.2006 21:25 0 wmvEB6.tmp
04.04.2006 21:20 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}15744.html
04.04.2006 21:20 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}29012.html
04.04.2006 17:49 16.384 ~DF9BDB.tmp
04.04.2006 17:49 512 ~DF9397.tmp
04.04.2006 17:49 16.384 ~DF938D.tmp
7 Datei(en) 77.340 Bytes
0 Verzeichnis(se), 44.365.713.408 Bytes frei


3.

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 2035-CD74

Verzeichnis von C:\WINNT

04.04.2006 14:43 26 Lic.xxx
04.04.2006 14:37 32.394 SchedLgU.Txt
03.04.2006 23:30 1.006.738 ShellIconCache
03.04.2006 17:39 49 NeroDigital.ini
02.04.2006 21:37 447 AvxOnline.log
02.04.2006 21:17 2.785 setupapi.log
28.03.2006 19:42 129.973 wmsetup.log
27.03.2006 13:39 316.640 WMSysPr9.prx
26.02.2006 17:26 666 win.ini
18.02.2006 21:59 1.125 winamp.ini
18.02.2006 19:16 0 ?
16.02.2006 23:31 1.510.470 Firefox Wallpaper.bmp
27.01.2006 19:35 106 Ra2Wav1_P2.INI



4.


Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 2035-CD74

Verzeichnis von C:\

04.04.2006 21:54 0 sys.txt
04.04.2006 21:54 6.252 system.txt
04.04.2006 21:54 698 systemtemp.txt
04.04.2006 21:50 93.290 system32.txt
04.04.2006 16:06 2.657 eScan_neu.txt
04.04.2006 15:38 0 23990098.$$$
04.04.2006 15:38 6 AVPCallback.log
04.04.2006 14:38 805.306.368 pagefile.sys
05.03.2006 18:54 230.424 img1-001.raw
12.01.2006 21:14 443 Find.rar


soooo..

hoffe du kannst was damit anfangen!

freundliche grüße
genius

Hallo,

lösche folgende Dateien mit Killbox, in meiner Signatur verlinkt:

C:\DOKUME~1\atight1\LOKALE~1\Temp\sta1A.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\d0f5a9da.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\staD.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\35d063.exe

Leere den Ordner C:\DOKUME~1\atight1\LOKALE~1\Temp
dannach einmal manuell.

Die Datei

C:\WINNT\Lic.xxx

online bei Jotti und virustotal scannen und berichten.

Gruß

Schrulli

Hallo,

Ich habe
C:\DOKUME~1\atight1\LOKALE~1\Temp
nun Manuell entleert .

Diese Dateien:
C:\DOKUME~1\atight1\LOKALE~1\Temp\sta1A.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\d0f5a9da.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\staD.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\35d063.exe
existieren gar nicht sagt killbox!

und hier ist ein scan der
C:\WINNT\Lic.xxx


Jotti:
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden




Virustotal:
AntiVir no virus found
Avast no virus found
AVG no virus found
Avira no virus found
BitDefender no virus found
CAT-QuickHeal no virus found
ClamAV devel-20060202 no virus found
DrWeb no virus found
eTrust-InoculateIT no virus found
eTrust-Vet no virus found
Ewido no virus found
Fortinet no virus found
F-Prot no virus found
Ikarus no virus found
Kaspersky no virus found
McAfee no virus found
NOD32v2 no virus found
Norman no virus found
Panda no virus found
Sophos no virus found
Symantec no virus found
TheHacker no virus found
UNA no virus found
VBA32 no virus found



Also ich seh da eindeutig nix ^^ Hoffe dir hilfts!

gruß
genius

Hallo,

wie sieht es mit der Webung aus?

Gruß

Schrulli

Also vor 2 Stunden kam die letzte Werbung.. Bis jetzt noch nix , aber sollte etwas kommen dann sag ich es sofort!

wenn morgen den ganzen tag auch alles ok is dann glaub ich is mein pc über n berg =)

WICHTIGE NACHRICHT!

Als ich den Exporer öffnete diese meldung:

Es gibt Sicherheitsverletzbarkeit vor Beagle Virus, wir empfehlen ihnen eine sicherheitssoftware zu LADEN, um Malware-Infektionen zu verhindern

HIlfe =)

Außerdem öffnet sich dann diese seite http://amaena.com/securityworm5/de/?aid=msg2_de_de&lid=keyin

ich glaub nciht, dass das so vertrauenswürdig aussieht,,

Hallo,

1. Nicht laden / kaufen / etc.
2. Poste ein aktuellen HJT

Gruß

Schrulli

1. ich hab mir schon gedacht, dass was nicht stimmt
des weiteren kommt diese meldung immer wieder

2.
Logfile of HijackThis v1.99.1
Scan saved at 22:37:23, on 05.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\vsnpstd.exe
C:\Spiele\Winamp\winampa.exe
C:\WINNT\system32\stisvc.exe
C:\spiele\steam\steam.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\stickies\stickies.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\HLSW\hlsw.exe
c:\spiele\steam\steamapps\fixundfoxi\counter-strike\hl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\Rar$EX00.359\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\atight1\EIGENE~1\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {E04A69C7-FC81-E77E-A241-76CDD0B2956B} - C:\DOKUME~1\atight1\ANWEND~1\INSIDE~1\sixth amok.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Spiele\Winamp\winampa.exe
O4 - HKLM\..\Run: [PLUS TRAY KEEP TITLE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRAG BOWS PLUS TRAY\Drive heart.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Deleteamen] C:\DOKUME~1\atight1\ANWEND~1\PROCMA~1\DefaultMoveFlap.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43E5873F-0634-43FE-B227-12255C32036D}: NameServer = 62.72.64.241,62.72.64.237
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe


gruß
genius

Hallo,

dieser ist immernoch da

lade Regseeker, ausführen, "Clean the registry" , select all green, Entf drücken.

mit HJT im abgesicherten Modus fixen:

O4 - HKLM\..\Run: [PLUS TRAY KEEP TITLE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRAG BOWS PLUS TRAY\Drive heart.exe
O2 - BHO: (no name) - {E04A69C7-FC81-E77E-A241-76CDD0B2956B} - C:\DOKUME~1\atight1\ANWEND~1\INSIDE~1\sixth amok.exe

die Datei mit Killbox löschen, Option delete on Reboot

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRAG BOWS PLUS TRAY\Drive heart.exe
C:\DOKUME~1\atight1\ANWEND~1\INSIDE~1\sixth amok.exe

Dann dies Systemsteuerung deaktivieren, und einen OnlineScan hier.

Berichte dannach.

Gruß

Schrulli

Hab mit Regseeker gesäubert

Habe mit HJT gefixt

Habe die beiden Dateien nun mit Killox gelöscht. Was jedoch sehr auffällig war, war dass die C:\DOKUME~1\atight1\ANWEND~1\INSIDE~1\sixth amok.exe nicht exsistierte.
Also ich versuche diese Datei mit der Box zu killen und es kam diese Meldung:
PendingFileRenameOperations Registry Data has been Removed by External Process!

Bin rade dabei meinen Pc online zu scannen.

Online Scan nun auch Durchgezogen und alle Infektionen gelöscht!

Hallo kurz einmisch:

Dies nicht vergessen:
O4 - HKCU\..\Run: [Deleteamen] C:\DOKUME~1\atight1\ANWEND~1\PROCMA~1\DefaultMoveF lap.exe

dartus

Hi Schrulli