hallo,
kann mir jemand weiterhelfen?

bei einem scan von "ad aware se personal" wurden folgende trojaner gefunden:

TR/Rootkit.sma.a
TR/drop.saveErr.a.4
TR/Crypt.T.320

beim scan mit antivir bekam ich folgendes ergebnis:

"AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 11. August 2006 09:15

Es wird nach 468639 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ***
Computername: ***

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 16.03.2006 08:04:54
AVSCAN.DLL : 7.0.0.42 57384 16.03.2006 08:04:54
LUKE.DLL : 7.0.0.42 118824 16.03.2006 08:04:54
LUKERES.DLL : 7.0.0.42 32808 16.03.2006 08:04:54
ANTIVIR0.VDF : 6.35.0.1 7371264 16.03.2006 08:04:54
ANTIVIR1.VDF : 6.35.0.168 730112 16.03.2006 08:04:54
ANTIVIR2.VDF : 6.35.1.15 295936 16.03.2006 08:04:54
ANTIVIR3.VDF : 6.35.1.45 44544 16.03.2006 08:04:54
AVEWIN32.DLL : 7.1.1.2 1782272 16.03.2006 08:04:54
AVPREF.DLL : 7.0.0.1 53288 16.03.2006 08:04:54
AVREP.DLL : 6.35.1.25 737320 16.03.2006 08:04:54
AVRPBASE.DLL : 7.0.0.0 2162728 03.08.2006 18:19:57
AVPACK32.DLL : 7.1.0.1 335912 16.03.2006 08:04:54
AVREG.DLL : 6.31.0.90 27688 16.03.2006 08:04:54
NETNT.DLL : 6.32.0.0 6696 16.03.2006 08:04:54
NETNW.DLL : 6.32.0.0 9768 16.03.2006 08:04:55
RCIMAGE.DLL : 7.0.0.71 1642536 16.03.2006 08:04:56
RCTEXT.DLL : 7.0.0.75 77864 16.03.2006 08:04:56

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,D,E,A,F,G
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Freitag, 11. August 2006 09:15


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 41 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
C:\WINDOWS.XP\ybcxccr.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Die Registry wurde durchsucht ( 35 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\ybcxccr.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\system32\config\DEFAULT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\system32\config\SOFTWARE
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\system32\config\SYSTEM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS.XP\SoftwareDistribution\EventCache\{BB66B245-4396-4D73-B1B9-4FFE69B9BB47}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_b1c.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Freitag, 11. August 2006 09:37
Benötigte Zeit: 22:09 min

Der Suchlauf wurde vollständig durchgeführt.

4989 Verzeichnisse wurden überprüft
197349 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1193 Archive wurden durchsucht
28 Warnungen
1 Hinweise"

was nun?

Guten Morgen,

Poste mal bitte ein Hijacktis LOG. Alles wichtige dazu gibts hier .

Ein eScan wäre auch nicht schlecht! Alles dazu gibts hier . Genau Lesen und den Raport mit hilfe der Find.zip posten.


Einmal Posten reicht. Lösche den anderen Beitrag von Dir.


Gruß Mellosun

guten morgen ;o)
komischerweise hat der scan mit deinem empfohlenen programm (escan) nach neustart & ausschalten der systemwiederherstellung nix bösartiges ergeben.
(der lief übrigens gleich von allein los und ich sollte irgendwann nen key-code oder so eintragen ?!)
deshalb hab ich den bericht nicht kopiert.

also hier erstmal hijackthis.log

Logfile of HijackThis v1.99.1
Scan saved at 10:58:16, on 11.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.XP\System32\smss.exe
C:\WINDOWS.XP\system32\winlogon.exe
C:\WINDOWS.XP\system32\services.exe
C:\WINDOWS.XP\system32\lsass.exe
C:\WINDOWS.XP\system32\Ati2evxx.exe
C:\WINDOWS.XP\system32\svchost.exe
C:\WINDOWS.XP\System32\svchost.exe
C:\WINDOWS.XP\system32\Ati2evxx.exe
C:\WINDOWS.XP\Explorer.EXE
C:\WINDOWS.XP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Cherry\Power Wheel Mouse\Awmmain.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\programme\qttask.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS.XP\Dit.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS.XP\ybcxccr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\CalCheck.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS.XP\twain_32\CIS600X\WATCH.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS.XP\system32\svchost.exe
C:\WINDOWS.XP\ISW\alice\signup\ConnctAs.exe
D:\Programme\LimeWire\LimeWire.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\WINDOWS.XP\system32\mmc.exe
C:\WINDOWS.XP\system32\DfrgFat.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\WINDOWS.XP\msagent\AgentSvr.exe
C:\DOKUME~1\VANESS~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\Cherry\Power Wheel Mouse\Awmmain.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PE2CKFNT SE] c:\programme\ChkFont.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS.XP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS.XP\system32\sfg_38c8.dll"
O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS.XP\ybcxccr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS.XP\system32\sfg_38c8.dll"
O4 - Startup: Watch.lnk = C:\WINDOWS.XP\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\CalCheck.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095267861977
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9E10F49-21FE-4408-848B-B1F5CEB4EE9D}: NameServer = 213.191.74.18 213.191.92.86
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC8BA630-54C3-499F-9A54-EAF7FAC625F6}: NameServer = 0.0.0.0
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.XP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.XP\system32\ati2sgag.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

kann man da irgendwas erkennen?
mir sagt das ja mal wieder garnix (
noch ne blöde frage:
welche F taste muss ich nochmal beim start für den abgesicherten modus drücken?
lg,
moleseven

Nachmal Hallo,

Zitat:

Zitat von moleseven

guten morgen ;o)
komischerweise hat der scan mit deinem empfohlenen programm (escan) nach neustart & ausschalten der systemwiederherstellung nix bösartiges ergeben.
(der lief übrigens gleich von allein los und ich sollte irgendwann nen key-code oder so eintragen ?!)
deshalb hab ich den bericht nicht kopiert.

Dan hast du es nicht richtig gemacht.Genau nach der Anleitung vorgehen. Und im Abgesicherten Modus hast du den Scan ja auch nicht gemacht!

In den Abgesicherten Modus kommst du, durch drücken der F8 Taste!


Also in Deinem Log ist schon einiges, was da nicht sein soll.

Mal folgendes bei Jotti und Virustotal auswerten lassen und Ergebnis Posten Link in meiner SIG!

C:\Programme\Cherry\Power Wheel Mouse\Awmmain.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\WINDOWS.XP\ybcxccr.exe
C:\WINDOWS.XP\twain_32\CIS600X\WATCH.exe
C:\WINDOWS.XP\system32\sfg_38c8.dll"


Bin leider schon weg...muss schaffen aber es gibt genügend Leute hier, die Dir helfen werden! Ein Dailer ist unter anderem in Deinem System und du gehts doch mit ISDN ins Netz?


Gruß Mellosun

es scheitert bei mir schon am (wiederholten versuch zum) download von "mwav":
beim installieren kommt die fehlermeldung irgendwas sei "corrupt" und ich solle es updaten. beim entpacken sagt mir das programm "winrar", der "kopf" sei zerstört.
ich versteh das nicht.

Hallo allerseits

@moleseven

wenn du wirklich frei von trojanern sein willst,
dann solltest du ewido anti-spyware (testversion) herunterladen.

PS: wenn du die vollversion willst dann kannst du die Lizenznummer
bei freeserials.com anschauen gehen. (zwar nicht so legal, aber schon ok, denn seit das mal in nem pc-heft stand
weiss es sowieso jeder)

yoshi27freak

Hallo,
Ewido kommt nicht mit aller Malware klar, deswegen sind wir ja hier, das Programm ist nur ganz gut zur Kontrolle geeignet.
Und wenn du dir Serials von einer solchen Seite runter lädst hast du schneller richtig üble Trojaner als du bis drei zählen kannst. Außerdem ist dein Posting natürlich eine Aufforderung zu einer illegalen Handlung, insofern habe ich es gemeldet.
@moleseven
mach dann mal hier weiter:

Zitat:

Mal folgendes bei Jotti und Virustotal auswerten lassen und Ergebnis Posten Link in meiner SIG!

C:\Programme\Cherry\Power Wheel Mouse\Awmmain.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\WINDOWS.XP\ybcxccr.exe
C:\WINDOWS.XP\twain_32\CIS600X\WATCH.exe
C:\WINDOWS.XP\system32\sfg_38c8.dll"

Grüße Wildone