Hallo an alle.

Mein Virenscanner hat beim "Nebenbeiscannen" zwei Viren gefunden namens "Exploiit-ANIfile.c" und "JS/Downloader-AUD". Habe den Scanner daraufhin einmal durchlaufen lassen und er hat eine infizierte Datei gefunden und gelöscht "JS/Downloader-AUD". Da das wohl nicht alles war, stelle ich mein HiJack-Log hier hinein, mit der Bitte um Durchsicht und ggf. Tipps zur Beseitigung der Viren.

Logfile of HijackThis v1.99.1
Scan saved at 07:50:19, on 09.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\TOBITA~1\TAVFDSrv.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Tobit AntiVirus For Desktops\TAVfD.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Tobit InfoCenter\DVWIN32.EXE
C:\Programme\McAfee\VirusScan TC\Avsynmgr.exe
C:\Programme\McAfee\VirusScan TC\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\McAfee\McShield\Mcshield.exe
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
C:\Programme\McAfee\VirusScan TC\VsStat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\**\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Tobit AntiVirus for Desktops] C:\Programme\Tobit AntiVirus For Desktops\TAVfD.exe -HIDE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: David InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124476270676
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.int
O17 - HKLM\Software\..\Telephony: DomainName = ***.int
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D600DC9-79E7-4889-BC77-3DB1E48D7666}: NameServer = 192.168.115.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{219E219B-458B-44B9-AE63-2E007533C1B8}: NameServer = 192.168.115.254,192.168.115.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{252D194C-8465-45FE-B6FC-CB55DCD76798}: NameServer = 192.168.115.1,192.168.115.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.int
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D600DC9-79E7-4889-BC77-3DB1E48D7666}: NameServer = 192.168.115.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVSync Manager (Avsynmgr) - Unknown owner - C:\Programme\McAfee\VirusScan TC\Avsynmgr.exe
O23 - Service: McShield (Mcshield) - Unknown owner - C:\Programme\Gemeinsame Dateien\McAfee\McShield\Mcshield.exe
O23 - Service: Tobit AntiVirus for Desktops Service (TAVFDService) - Tobit Software - C:\PROGRA~1\TOBITA~1\TAVFDSrv.EXE

Vielen Dank im Voraus.
Gruß,
Sevi.

Guten Morgen.

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.int
O17 - HKLM\Software\..\Telephony: DomainName = ***.int
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.int

Nicht ganz unkenntlich machen Was hast du durch die Sternchen ersetzt?

2.Wo wurden die Dateien gefunden?

Ups. Ersetzt wurde:

BNIn***enz.int, nur wenn ich das ausschreibe, kann ich den Rest auch gleich stehen lassen...

Wo der Virus beim Scannen gefunden wurde, weiß ich nicht mehr. Aber bei dem "Nebenbeiscan" bekam ich ein paar E-Mails mit der Mitteilung das in folgenden Dateien Viren gefunden wurden:

Exploit_ANIfile.c:
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8PM3C9ER\riff_last[1].bin O
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDUB0LY3\riff_last[1].bin O
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDUB0LY3\riff_last[1].bin O
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XPSX6CV1\riff_last[1].bin O
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XPSX6CV1\riff_last[1].bin O

JS/Downloader_AUD:
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2JW1AXG7\272048.multiguestbook[1].htm O

Ich hoffe, dass das weiterhilft. Danke schonmal!
Gruß,
Sevi.

Kennst du die Seite ?
Wenn nicht musst du die Einträge fixen.
Dann arbeite diese Anleitung ab:
ClearProg

Zitat:

Kennst du die Seite ?

Meinst du die "BNIn***enz.int" ?

Dies ist ein Netzwerkrechner und BNIn***enz ist quasi die Admin-Bezeichnung, oder wie man das nennen mag.

Soll ich ClearProg trotzdem abarbeiten?

Nachtrag: Nicht, dass sich jemand wundert. Sevi07 ist meine Kollegin, die sich aber überhaupt nicht mit Computern auskennt. Ich habe daher in ihrem Namen von meinem Arbeitsplatz aus geantwortet. Ich hoffe, das ist ok.

Jap ClearProg auf jeden Fall.

Erledigt.
Soll jetzt eine Virenprüfung angeschlossen werden, oder soll ich den HiJack nochmal drüberlaufen lassen?
Oder ist alles i.O.?
Gruß, Sevi.

Lass dein AntiViren Programm drüberlaufen und guck ob nach was gefunden wird.

Der Virenscanner hat nix mehr gefunden. Wenn das Log ok war, dann dürfte wohl alles wieder in Ordnung sein, richtig?

Vielen Dank für die Hilfe!
Gruß,
Sevi.

Zitat:

Zitat von Sevi07

Der Virenscanner hat nix mehr gefunden. Wenn das Log ok war, dann dürfte wohl alles wieder in Ordnung sein, richtig?

Ja

Hallo,

ich melde mich mal nach einem Jahr wieder.

Vorab: Ich konnte mir leider nicht den ganzen Thread durchlesen. Tut mir Leid, falls ich etwas Wichtiges überlesen habe, aber ich habe es doch recht eilig. Gestern habe ich im Internet herumgesurft (Google), aber als ich dann versucht habe, eine Seite zu öffnen, begann auch schon das ganze Unheil: Die Seite wollte mir eine Datei schicken, doch mein Viren-Programm hat es blocken können. Heute aber meldet mein Viren-Programm etwa jede Viertel-Stunde einen Virus. Also, nicht, dass er bereits in meinem PC direkt drin ist, sondern, dass es irgendwie den Zugang zu der Datei geblockt hat und mein PC nicht infiziert wurde, oder so. Sorry, etwas ungenau, aber es ist dieses "riff-last.bin" und weiß nicht, wie ich es los werde. Kann ich nicht einfach die "Temporary Internet Files" löschen??

Bitte helft mir, ich glaube, mein Rechner ist doch infiziert, denn sonst würde es nicht etwas melden. Und es ist der PC meines Bruders. Bin absolut für jeden Rat dankbar!!

Was genau muss ich mir bei diesem ClearProg herunterladen?? Es gibt ja mehrere Dateien zum Herunterladen ...
Oder geht das auch ohne dem Programm??

Danke schon im Voraus.