Hallo an alle.

Mein Virenscanner hat beim "Nebenbeiscannen" zwei Viren gefunden namens "Exploiit-ANIfile.c" und "JS/Downloader-AUD". Habe den Scanner daraufhin einmal durchlaufen lassen und er hat eine infizierte Datei gefunden und gelöscht "JS/Downloader-AUD". Da das wohl nicht alles war, stelle ich mein HiJack-Log hier hinein, mit der Bitte um Durchsicht und ggf. Tipps zur Beseitigung der Viren.

Logfile of HijackThis v1.99.1
Scan saved at 07:50:19, on 09.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\TOBITA~1\TAVFDSrv.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Tobit AntiVirus For Desktops\TAVfD.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Tobit InfoCenter\DVWIN32.EXE
C:\Programme\McAfee\VirusScan TC\Avsynmgr.exe
C:\Programme\McAfee\VirusScan TC\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\McAfee\McShield\Mcshield.exe
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
C:\Programme\McAfee\VirusScan TC\VsStat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\**\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Tobit AntiVirus for Desktops] C:\Programme\Tobit AntiVirus For Desktops\TAVfD.exe -HIDE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: David InfoCenter.LNK = C:\Programme\Tobit InfoCenter\DVWIN32.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124476270676
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.int
O17 - HKLM\Software\..\Telephony: DomainName = ***.int
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D600DC9-79E7-4889-BC77-3DB1E48D7666}: NameServer = 192.168.115.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{219E219B-458B-44B9-AE63-2E007533C1B8}: NameServer = 192.168.115.254,192.168.115.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{252D194C-8465-45FE-B6FC-CB55DCD76798}: NameServer = 192.168.115.1,192.168.115.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.int
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D600DC9-79E7-4889-BC77-3DB1E48D7666}: NameServer = 192.168.115.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVSync Manager (Avsynmgr) - Unknown owner - C:\Programme\McAfee\VirusScan TC\Avsynmgr.exe
O23 - Service: McShield (Mcshield) - Unknown owner - C:\Programme\Gemeinsame Dateien\McAfee\McShield\Mcshield.exe
O23 - Service: Tobit AntiVirus for Desktops Service (TAVFDService) - Tobit Software - C:\PROGRA~1\TOBITA~1\TAVFDSrv.EXE

Vielen Dank im Voraus.
Gruß,
Sevi.

Guten Morgen.

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.int
O17 - HKLM\Software\..\Telephony: DomainName = ***.int
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.int

Nicht ganz unkenntlich machen Was hast du durch die Sternchen ersetzt?

2.Wo wurden die Dateien gefunden?

Ups. Ersetzt wurde:

BNIn***enz.int, nur wenn ich das ausschreibe, kann ich den Rest auch gleich stehen lassen...

Wo der Virus beim Scannen gefunden wurde, weiß ich nicht mehr. Aber bei dem "Nebenbeiscan" bekam ich ein paar E-Mails mit der Mitteilung das in folgenden Dateien Viren gefunden wurden:

Exploit_ANIfile.c:
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8PM3C9ER\riff_last[1].bin O
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDUB0LY3\riff_last[1].bin O
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDUB0LY3\riff_last[1].bin O
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XPSX6CV1\riff_last[1].bin O
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XPSX6CV1\riff_last[1].bin O

JS/Downloader_AUD:
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2JW1AXG7\272048.multiguestbook[1].htm O

Ich hoffe, dass das weiterhilft. Danke schonmal!
Gruß,
Sevi.

Kennst du die Seite ?
Wenn nicht musst du die Einträge fixen.
Dann arbeite diese Anleitung ab:
ClearProg

Zitat:

Kennst du die Seite ?

Meinst du die "BNIn***enz.int" ?

Dies ist ein Netzwerkrechner und BNIn***enz ist quasi die Admin-Bezeichnung, oder wie man das nennen mag.

Soll ich ClearProg trotzdem abarbeiten?

Nachtrag: Nicht, dass sich jemand wundert. Sevi07 ist meine Kollegin, die sich aber überhaupt nicht mit Computern auskennt. Ich habe daher in ihrem Namen von meinem Arbeitsplatz aus geantwortet. Ich hoffe, das ist ok.

Jap ClearProg auf jeden Fall.

Erledigt.
Soll jetzt eine Virenprüfung angeschlossen werden, oder soll ich den HiJack nochmal drüberlaufen lassen?
Oder ist alles i.O.?
Gruß, Sevi.