Hallo zusammen!
Ich habe vor kurzen nen kleinen Virus auf mein Pc gehabt. Hab Sober runterschmeißen können, aber mein Virenprogramm sagt mir noch 58 "Warnungen" an. Wollt mich also mal näher informieren über Viren und Trojaner und dann finde ich dieses Highjackthis programm. Na runterladen schaffte ich noch alleine aber jetzt weiß ich nicht weiter. Bin zugegeben auch ein totaler Amateur in diesem Bereich.
Also kann sich mal jemand diese Logfile durchschauen und mir sagen welche Bereiche bedenklich oder Viren sind ( nett wäre auch ne kurze Anleitung wie ich Sie schnell wieder los werde ).

Schanke dön schonmal!!


Logfile of HijackThis v1.99.1
Scan saved at 21:56:06, on 03.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Centrino HC\Centrino_HC.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programme\Centrino HC\Centrino_HC.exe" -quiet
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A6463D6-7956-4572-8DBC-5CB1F3F786A0}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0D4B5BB-6F62-4EBE-B902-BC85E70EC2F3}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hallo,

Sober ist kein "kleiner" Virus, schau mal, was der so kann.

Zitat:

O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

Deinstalliere über Systemsteuerung / Software / WhenUSave

Was sind das denn für andere Meldungen und ist der Sober ausgebrochen, oder wurde er abgefangen?

Gruß

Schrulli

Hi!
ja hast ja recht viren sind nie was schönes und ja sie können was anrichten am schlimmsten ist aber doch die nervliche Belastung
Also dein Tipp mit Systemsteuerung/ Software/ When u save löschen, mag ja richtig sein, aber ich finde diesen Pfad erst gar nicht..versteckte Dateien vielleicht? Ich habe dir hier mal einen ausdruck meines Viren Programms sind sogar über 60 Warnungen. Was ist nun böse und was brauch daas System? Sieht mein Log-file denn sonst in Ordnung aus???


Erstellungsdatum der Reportdatei: Montag, 27. März 2006 22:10


Job Name: 'Lokale Laufwerke'

Es wird nach 343813 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: matt
Computername: ***

Versionsinformationen:
AVSCAN.EXE : 7.0.0.28 532520 15.03.2006 10:19:00
AVSCAN.DLL : 7.0.0.28 53288 15.03.2006 10:18:59
LUKE.DLL : 7.0.0.28 114728 15.03.2006 10:19:00
LUKERES.DLL : 7.0.0.28 32768 15.03.2006 10:19:00
ANTIVIR0.VDF : 6.32.0.60 4323840 15.03.2006 06:46:27
ANTIVIR1.VDF : 6.34.0.11 1424384 15.03.2006 06:46:28
ANTIVIR2.VDF : 6.34.0.75 207872 27.03.2006 20:08:45
ANTIVIR3.VDF : 6.34.0.103 60928 27.03.2006 20:08:45
AVEWIN32.DLL : 7.0.0.3 1167872 28.02.2006 15:06:46
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 11:05:53
AVREP.DLL : 6.34.0.100 2461736 27.03.2006 20:08:45
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 08:03:37
AVREG.DLL : 6.31.0.90 27688 28.07.2005 09:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 06:56:47
NETNW.DLL : 6.32.0.0 9768 27.09.2005 06:56:47


Beginn des Suchlaufs: Montag, 27. März 2006 22:10


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

Die Registry wurde durchsucht ( 61 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Anwendungsdaten\Mozilla\Firefox\Profiles\evpgq2uh.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Temp\JET74BD.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Temp\JET7579.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Temp\~DF34DF.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Temp\~DF9459.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\matt\Lokale Einstellungen\Temp\~DFFBDA.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Montag, 27. März 2006 22:42
Benötigte Zeit: 32:28 min

Der Suchlauf wurde vollständig durchgeführt.

2766 Verzeichnisse wurden überprüft
154222 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
6214 Archive wurden durchsucht
64 Warnungen
0 Hinweise

Hallo Pitcher,
hast du dir Schrullis Link angesehen ? War da deiner dabei ? Schrullis Fragen bedürfen immer noch einer Antwort deinerseits.Antivir darf bei Windows nicht in jede Datei sehen,es gibt dann beleidigt "Warnungen " aus.
Hijackthis lügt nicht,das hier ist bei dir drauf und muß runter :
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
So ist auch nichts zu finden ?
C:\Programme\Save\Save.exe
Schau mal in Schrullis Signatur nach "Dateien sichtbar machen"
Ist es so eingestellt und kannst du jetzt was finden.?
Irrlicht

Hallo,

Zitat:

Zitat von Schrulli

Was sind das denn für andere Meldungen und ist der Sober ausgebrochen, oder wurde er abgefangen?

hast Du hier noch ein Log für uns?

Gruß

Schrulli

Antivir hat ein eigenes Forum:

http://forum.antivir-pe.de

Die "Warnungen" habe ich auch und laut Antivir sind diese nicht erheblich.

Hallo,

Zitat:

Zitat von Nada01

Antivir hat ein eigenes Forum:

was Du alles weißt

Zitat:

Die "Warnungen" habe ich auch und laut Antivir sind diese nicht erheblich.

Hatten wir schon, wichtig wäre die Logs mit den Sober Infizierungen, um festzustellen inwieweit der Virus aktiv geworden ist.

Gruß

Schrulli

Hallo miteinander..

So habe mal wieder Zeit gefunden euch zu texten. Also welcher Wurm es nun war (A,B,C) weiß ich nicht. Hatte vorher Norton drauf und die Alte version 6 vom Anti-vir und beide liefen ohne Probleme nebeneinander. Dann hat ich ein Update auf Anti-vir 7.0 durchgeführt und es tat sich gar nichts mehr, bzw stundenlang verzögert zum öffnen einer Datei! In meiner Panik hatte ich anti-vir runter geschmissen und mit Norton ne Virusprüfung gemacht. Dieser hat mir dann gesagt Virus Sober W32 entdeckt(Es könnte B gewesen sein). Ich drückte einfach auf entfernen&dachte damit ist er vom Pc. Dann sagte mir aber nen Kollege das 2 aktive Viren Programme die Ursache waren wegen der Verlangsamerung & ich solle mir das bessere anti-vir holen und norton entfernen. Habe ich dann auch gemacht& hab daher kein Bericht mehr davon & keine Ahnung welche Endung er hatte.. Tja Schite!

Habe aber alle versteckten Dateien nun nach Anleitung schrullis mir anzeigen lassen und nach dem c:\Programme\save\save.exe gesucht. Er hat mir 4 Quellen angezeigt ich habe versucht die per Strg. C zu kopieren aber das einzige was hier erscheint ist

hijackthis.log c:\dokumente und Einstellungen
setupapi.log c:\windows
collecteddata_45.xml C:\windows\pchealth\helpctr\datacoll
collecteddata_194.xml " " " "

Könnt ihr damit was anfangen, mir sagen wo er sich noch drin verstecken könnte.

Na aber nen anderen Trojaner oder ähnliches habe ich nicht, oder???

Grüße

Hallo,

bei einer unbekannten Sober Infektion rate ich Dir das Sytem neu aufzusetzten. Es kann zu viel im System verändert worden sein.
Hier stehen mal die Varianten, Sober hat da sehr viele, mit der "interessanten" Features.
Eine Anleitung zum Neuaufsetzten findest Du in meiner Signatur verlinkt.

Gruß

Schrulli