Er geht net weg :(

pasta · 06.05.2007, 19:35

Hi Leute, ich kam heut heim und meine FireWall AVG Frree Edition hat mir nen Trojaner angezeigt

Name: trojan horse Generic3.ABKK

wenn ich auf heal oder halt verhscieben in quarantäne klicke geht er kurz weg doch er taucht kurz danach wieder auf. Anti vir erkennt ihn nichtmal genauso wie ad aware oder spy bot s&d. Und manuell löschen geht halt auch net so richtig. Hat jemand erfahrung mit dem trojaner oder weis rat. Meint ihr er ist gefährlich o_O

hier mein HijackThis protokoll

Logfile of HijackThis v1.99.1
Scan saved at 20:34:41, on 06.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\winsys2.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\Chat\ICQLite\ICQLite.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
D:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\System32\alg.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Hijackthis\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\Chat\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [D-Link AirPlus G] D:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [FFTI] C:\Dokumente und Einstellungen\Mickey Mouse\Anwendungsdaten\Mozilla\Firefox\Profiles\7bwk5fig.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Dokumente und Einstellungen\Mickey Mouse\Anwendungsdaten\Mozilla\Firefox\Profiles/7bwk5fig.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: MA111 Configuration Utility.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Chat\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Chat\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

BITTE HILFE!

Apocalypt · 06.05.2007, 19:38

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 20:34:41, on 06.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Wo ist das Service Pack 2???

Wo wird der Trojaner gemeldet? Genauer Pfad bitte.

pasta · 06.05.2007, 19:52

joa hab den pc erst neu und halt noch service pack 1

er befindet sich bei C-dokumente + einstellungen-mickey mouse (war net meine idee den pc so zu nennen^^)-lokale einstellungen-temp- Datei: ASWFHide
er is 4 kb groß

mhh hoffentlich is er net so gefährlich ....

Apocalypt · 06.05.2007, 19:54

Versuch den Ordner C:\Dokumente und Einstellungen\Mickey Mouse\Lokale Einstellungen\Temp zu leeren und hol dir dann so schnell wie möglich Service Pack 2 !!!

pasta · 06.05.2007, 19:58

ist da nix wichties bei temp. also kann alles weg, auch der ordner oder nur inhalt?? aber ich glaub der kommt trotzdem wieder. und kann ich sp2 holen wärend der trojaner da ist oder wieso soll ich schnell machen

Apocalypt · 06.05.2007, 20:07

1.DEn Ordner Temp leeren (nicht löschen), da ist nichts wichtiges drin.
2.Ob es sich löschen lässt oder nicht sehen wir dann.
3.Weil in der Zeit in der du hier schreibst sich schon wieder neue Viren einnisten können, solange du kein Service Pack 2 besitzt! Solang der drauf ist erstmal nicht installieren, aber besuch keine anderen Seiten als das Trojaner board

pasta · 06.05.2007, 20:18

ein paar sachen werden geradet verwendet, des meiste hab ich gelöäscht aber der virus kommt wieder

soll ich im abgesichteren modus versuchen? muss man dann f5 drücken beim start oder wie war des

Apocalypt · 06.05.2007, 20:28

Wie heißen die Dateien? Ich brauche die genauen Namen!

P.S.: Was 10mal schneller geht als diese gewurschtel..
http://www.trojaner-board.de/12154-a...sicherung.html

pasta · 06.05.2007, 20:30

ich wollte eigentlich nicht formatieren

Dateinamen:
~DF1D87.tmp
~DF1D93.tmp
~DF42FE.tmp
~DF44CD.tmp
~DF53B6.tmp
ASFWHide
Perflib_Perfdata_194.dat

Apocalypt · 06.05.2007, 20:32

Ist aber besser...und die einzig sichere Lösung. In der Zeit in der wir hier versuchen das zu beseitgen schleicht sich bei dir schon der nächste Trojaner etc. ein. Folge der Anleitung und ganz wichtig: besorg dir dann auch Service Pack2

pasta · 06.05.2007, 21:26

noch eine andere idee außer formatieren, also im abgesichterten modus hab ich gelöscht und im normalen kommts aber wieder

pasta · 06.05.2007, 22:00

es liegt wohl an der shampoo firewall, ist sie aus kann man die datei löschen, und sie bleibt weg, ist sie an kommt sie wieder mitsammt warnung. die datei heißt ja ASFWhide = ashampoofirewall ???

Er geht net weg :(

Plagegeister aller Art und deren Bekämpfung: Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Er geht net weg :(

Ähnliche Themen: Er geht net weg :(

06.05.2007, 19:52	#3
pasta	Er geht net weg :( joa hab den pc erst neu und halt noch service pack 1 er befindet sich bei C-dokumente + einstellungen-mickey mouse (war net meine idee den pc so zu nennen^^)-lokale einstellungen-temp- Datei: ASWFHide er is 4 kb groß mhh hoffentlich is er net so gefährlich .... __________________

06.05.2007, 19:54	#4
Apocalypt	Er geht net weg :( Versuch den Ordner C:\Dokumente und Einstellungen\Mickey Mouse\Lokale Einstellungen\Temp zu leeren und hol dir dann so schnell wie möglich Service Pack 2 !!!

06.05.2007, 19:58	#5
pasta	Er geht net weg :( ist da nix wichties bei temp. also kann alles weg, auch der ordner oder nur inhalt?? aber ich glaub der kommt trotzdem wieder. und kann ich sp2 holen wärend der trojaner da ist oder wieso soll ich schnell machen

06.05.2007, 20:07	#6
Apocalypt	Er geht net weg :( 1.DEn Ordner Temp leeren (nicht löschen), da ist nichts wichtiges drin. 2.Ob es sich löschen lässt oder nicht sehen wir dann. 3.Weil in der Zeit in der du hier schreibst sich schon wieder neue Viren einnisten können, solange du kein Service Pack 2 besitzt! Solang der drauf ist erstmal nicht installieren, aber besuch keine anderen Seiten als das Trojaner board

06.05.2007, 20:18	#7
pasta	Er geht net weg :( ein paar sachen werden geradet verwendet, des meiste hab ich gelöäscht aber der virus kommt wieder soll ich im abgesichteren modus versuchen? muss man dann f5 drücken beim start oder wie war des

06.05.2007, 20:28	#8
Apocalypt	Er geht net weg :( Wie heißen die Dateien? Ich brauche die genauen Namen! P.S.: Was 10mal schneller geht als diese gewurschtel.. http://www.trojaner-board.de/12154-a...sicherung.html

06.05.2007, 20:30	#9
pasta	Er geht net weg :( ich wollte eigentlich nicht formatieren Dateinamen: ~DF1D87.tmp ~DF1D93.tmp ~DF42FE.tmp ~DF44CD.tmp ~DF53B6.tmp ASFWHide Perflib_Perfdata_194.dat

06.05.2007, 20:32	#10
Apocalypt	Er geht net weg :( Ist aber besser...und die einzig sichere Lösung. In der Zeit in der wir hier versuchen das zu beseitgen schleicht sich bei dir schon der nächste Trojaner etc. ein. Folge der Anleitung und ganz wichtig: besorg dir dann auch Service Pack2

06.05.2007, 21:26	#11
pasta	Er geht net weg :( noch eine andere idee außer formatieren, also im abgesichterten modus hab ich gelöscht und im normalen kommts aber wieder

06.05.2007, 22:00	#12
pasta	Er geht net weg :( es liegt wohl an der shampoo firewall, ist sie aus kann man die datei löschen, und sie bleibt weg, ist sie an kommt sie wieder mitsammt warnung. die datei heißt ja ASFWhide = ashampoofirewall ???