Hallo,
hoffen wir es einfach mal das es so bleibt.


Grüße Wildone

wäre ja zu schön gewesen

C:\Dokume~1\Hoopst~1\Lokale~1\Temp\sta59.exe

so die neueste meldung

Hallo,
verdammt noch mal, der ist doch sonst nicht so hartnäckig,
Lösche mal den gesammten Inhalt des Ordners
C:\DOKUME~1\HOOPST~1\LOKALE~1\Temp\

Poste mal nochmal ein neues HijackThis Log.


Grüße Wildone

also habe es versucht zu löschen..aber zwei dateien wollen sich nicht löschen lassen:

$$$reghive

und

ladHide4.dll

Logfile of HijackThis v1.99.1
Scan saved at 16:06:57, on 13.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\UnHackMe\hackmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla1.7.3\mozilla.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Total Commander\TOTALCMD.EXE
c:\ICQ-Nachrichten\Downloads\hijackthis_199\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102433465578
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D90DEAA7-F9F0-4EC1-B3E3-2861FBC121E6}: NameServer = 213.191.74.12 213.191.92.84
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,
die ladHide4.dll gehört zu deinem Logitech updater, insofern sollte das in Ordnung gehen. Und die $$$reghive hat auch ihre Berechtigung. Im Logfile kann ich nichts auffälliges erkennen, muckt AntiVir immernoch?



Grüße Wildone

Hallo,

ich habe genau das gleiche Problem wie veterano.

Der Virus kommt hier vor:
C:\DOKUME~1\Manfred\LOKALE~1\Temp\sta3D.exe

Wobei das Ende von sta variiert.

ja immer im temp ordner aber diesmal mit sta2A.exe am ende

Hallo,
mach mal folgendes:
Start>> alle Programme>>Zubehör>>Editor und kopiere folgenden Text rein:


dir %Windir%\tasks /a h > files.txt
notepad files.txt

Speichere dann das ganze unter findjobs.bat auf dem Desktop ab.
Führe die findjobs.bat aus und poste den Inhalt des erscheinenden Fensters.


Grüße Wildone

Verzeichnis von C:\WINDOWS\tasks

12.04.2006 14:51 <DIR> .
12.04.2006 14:51 <DIR> ..
07.04.2006 17:18 410 1-Klick-Wartung.job
13.04.2006 17:00 292 B3205DDF93E3D09B.job
02.04.2003 14:00 65 desktop.ini
13.04.2006 14:47 6 SA.DAT
4 Datei(en) 773 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Hoopster2010\Desktop


so ungefair?

Hallo,
genau so. Jetzt kopierst du folgenden Text in den Editor:
%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h B3205DDF93E3D09B.job
del B3205DDF93E3D09B.job

das speicherst du dann unter killjob.bat auf dem Desktop und führst es dann per Doppelklick aus.

Dann besorgst du dir noch counterspy! und scannst damit dein System.

Poste den Report von Counterspy und lösche nochmal die Temp dateien mit cleanup!

Berichte dann ob sich Antivir immernoch meldet.


Grüße Wildone

also alles gemacht... resultat:

Spyware Scan Details
Start Date: 13.04.2006 17:43:54
End Date: 13.04.2006 18:13:38
Total Time: 29 mins 44 secs

Detected spyware
No spyware were found during this scan.

aber während des scans kam von antivir:

C:\ICQ-Nachrichten\Downloads\highjackthis_199\backups\backup-20060413-101829-500.dll

Meldung: TR\Dldr.Swizzor.BO.107

Hallo,
dann lösche die Backups von HijackThis noch, oder explitit die Datei backup-20060413-101829-500.dll

Sonst wieder Meldungen über Swizzor in den Temp Dateien?


Grüße Wildone

bis jetzt nicht...aber die meldungen kommen eh unregelmäßig. ich wart nochmal ab ... die datei hab ich jetzt gelöscht!

gruß

veterano

0:44

bis jetzt ist alles ruhig ich hoffe das bleibt erstmal so ^^

auf jeden fall vielen dank erstmal !!!

gruß

veterano

Hallo,
schön das du dich noch mal gemeldet hast, dann kann man auch für die anderen davon ausgehen das es funktioniert.


Grüße Wildone