danke danke für eure antworten! also eines muss ich auch gleich sagen das mein msn nur zum arbeiten ist und ich da nur zwei bekannte drinnen habe von denen ich aber weiß die kenne sich genauso wenig aus wie ich also kann ich das ausschließen das mir jemand einen streich spielen wollte! nach der sache mit trojaner in meinem msn hatten wir auf unserer arbeitsplattform auch einen komischen zwischenfall wo komische sachen gesendet wurden, naja aus angst hab ich mir dann gleich mal zwei tage frei genommen nicht das vielleicht noch wegen mir war und ich ärger krieg! also habe das mal gemacht mit dem HijackThis hier ist das Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:01:15, on 30.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\atievxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Elisabeth\Desktop\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Programme\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.orf.at
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1170503497184
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe



dazu muss ich gleich mal sagen mir ist aufgefallen das nokia da an unterster stelle das war von einem datenkabel und das lässt sich überhaupt nicht mehr deinstallieren komischer weise, kann das auch was schlechtes sein?

würde mich freuen wenn mir wer weiter hilft!

danke mfg lissy

Moin

mach bitte alle versteckten Dateien und Ordner sichtbar.

Lass diese Datei :
C:\Programme\Storm Codec\StormSet.exe
hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Zitat:

das lässt sich überhaupt nicht mehr deinstallieren komischer weise, kann das auch was schlechtes sein?

zu Problemen der deinstallation kann ich dir nichts sagen aber der Eintrag sollte i.O. sein.

MFG

hallo!

danke für deine antwort aber das jotti geht gar nicht bei mir da kommt irgendso was mit server nicht richtig gelesen und bei dem anderen das versuche ich schon seit in der früh na da steht immer nur bitte warten und da kann ich das auch nicht machen!

zu dem das ich alle dateien sichtbar machen soll, die sind alle sichtbar gemacht das war schon immer so eingestellt, hat das einen bestimmten grund oder läuft bei mir zu wenig oder wie bist du denn darauf gekommen?

lg

Hallo

Zitat:

da steht immer nur bitte warten und da kann ich das auch nicht machen!

ganz verstehen tu ich den Satz nicht, wenn du meinst du hängst in der Warteschleife dann mußt du halt warten, bis die Auswertung beginnt aber Virustotal scheint eh im Augenblick down zu sein.

Zitat:

hat das einen bestimmten grund oder läuft bei mir zu wenig oder wie bist du denn darauf gekommen?

viele Schädlinge gaukeln dem System vor, sie seien wichtige Systemdateien und somit "vor Zugriff geschützt und und normal nicht sichtbar und versuchen sich zu verstecken"(etwas vereinfacht)

Wenn du nix wirst mit der Onlineüberprüfung der Datei würde ich dir einen eScan empfehlen, nutze zur Auswertung beschriebene Datei (Find.bat)
eScananleitung


MFG

hallo also das jotti dings ist jetzt gegangen hattte aber den ganzen tag net gefunkt so hier mal der log! was aber die MD5 und SHA1 Angaben weiß ich nicht und die größe ist 94,6 kb und auf dem datenträger 96kb weiß net was jetzt die größe ist die zählt aber poste mal beide und jetzt noch den log vom jotti:

Datei: StormSet.exe
Auslastung:
0% 100%
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
UPX

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Soll ich jetzt auch noch dcas mit dem virustotal machen oder reicht das log hier?

und noch eine frage ist das antivir wirklich so gut oder ist der avast besser? habe das antivir noch nicht so lange aber früher hatte ich den avast und da hatte ich nie solche probleme also bevor da was war hat der immer gleich geschriehen und alarm geschlagen


lg

hallo noch mal

so jetzt ging das virus total auch hier der log von dort auch noch nur damit nix fehlt was vielleicht wichtig sein könnte:


Complete scanning result of "StormSet.exe", received in VirusTotal at 05.01.2007, 21:54:27 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.30.1 04.30.2007 no virus found
AntiVir 7.4.0.15 05.01.2007 no virus found
Authentium 4.93.8 04.30.2007 no virus found
Avast 4.7.997.0 05.01.2007 no virus found
AVG 7.5.0.467 05.01.2007 no virus found
BitDefender 7.2 05.01.2007 no virus found
CAT-QuickHeal 9.00 04.30.2007 no virus found
ClamAV devel-20070416 05.01.2007 no virus found
DrWeb 4.33 05.01.2007 no virus found
eSafe 7.0.15.0 05.01.2007 no virus found
eTrust-Vet 30.7.3609 05.01.2007 no virus found
Ewido 4.0 05.01.2007 no virus found
FileAdvisor 1 05.01.2007 no virus found
Fortinet 2.85.0.0 05.01.2007 no virus found
F-Prot 4.3.2.48 04.30.2007 no virus found
F-Secure 6.70.13030.0 05.01.2007 no virus found
Ikarus T3.1.1.5 05.01.2007 no virus found
Kaspersky 4.0.2.24 05.01.2007 no virus found
McAfee 5021 05.01.2007 no virus found
Microsoft 1.2405 05.01.2007 no virus found
NOD32v2 2233 05.01.2007 no virus found
Norman 5.80.02 05.01.2007 no virus found
Panda 9.0.0.4 05.01.2007 no virus found
Prevx1 V2 05.01.2007 no virus found
Sophos 4.17.0 05.01.2007 no virus found
Sunbelt 2.2.907.0 05.01.2007 no virus found
Symantec 10 05.01.2007 no virus found
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.4 04.30.2007 no virus found
VirusBuster 4.3.7:9 05.01.2007 no virus found
Webwasher-Gateway 6.0.1 05.01.2007 no virus found

Aditional Information
File size: 96929 bytes
MD5: f3857367ef918d960f2cea648788a0b9
SHA1: 1586cce6f18062ae0150494d525ea655df96cba1
packers: BINARYRES, UPX

lg lissy

hallo,

hoffe jemand hat zeit und sagt mir nun anhand von dem was ich gepostet habe ob alles ok ist oder ob was nicht stimmt? hatte bis jetzt nichts mehr mit dem trojaner, kann ich die sache jetzt abhaken und es ist alles ok oder kann es sein das noch immer was nicht stimmt?

danke lg