Erstmal Hallo!

War hier im Forum schön öfters als Gast unterwegs und konnte so viele Zimperlein ausmerzen. Jetzt bin ich wieder da und hab Angst *g* Weil ich Depp habs angenommen das fotoalbum2007.zip.

Nicht nur das ich habs doppelgeklickt und hab im winrar auch noch mal auf die Screensaverdatei doppelgeklickt. Die Datei war 58kb groß (sollte mir eigentlich klar sein das da garantiert kein Foto reinpasst)

Dann hat mein Antivir pling gemacht und folgendes geschah

In der Datei 'F:\Dokumente und Einstellungen\Blacky\Lokale Einstellungen\Temp\Rar$DI00.172\photo album-2007.scr'
wurde ein Virus oder unerwünschtes Programm 'Worm/IRCBot.52736.4' [WORM/IRCBot.52736.4] gefunden.
Ausgeführte Aktion: Datei löschen

also gelöscht und auch die rar datei gelöscht....

Zusätzlich hab ich als Schutz noch den TrojanCheck6 Guard am laufen der soweit ich das mitgekriegt hab jede Registry Änderung bemerken soll und mich fragen soll ob das ok ist. Hat er aber nicht.

Mein AntiVir update war heute Abend um 22Uhr ca. der Anschlag danach.

Würde jetzt dennoch gerne den HijackThis log hier reinstellen um zu fragen ob ich das Ding hab. Sofern man das daraus ableiten kann.

Logfile of HijackThis v1.99.1
Scan saved at 01:24:29, on 03.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\ZubehörProgramme\TuneUp2006\WinStylerThemeSvc.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\TGTSoft\StyleXP\StyleXPService.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\system32\cisvc.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
F:\WINDOWS\system32\wdfmgr.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\alg.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\system32\CTHELPER.EXE
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Programme\Trojancheck 6\tcguard.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\FreePDF_XP\fpassist.exe
F:\Programme\HP\HP Software Update\HPWuSchd2.exe
F:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
F:\MultimediaProgramme\veoh player\VeohClient.exe
F:\Programme\ICQ6\ICQ.exe
F:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
F:\Programme\modate\madotate.exe
F:\Programme\Paltalk Messenger\palstart.exe
F:\InternetProgramme\Tor_Bundle\Privoxy\privoxy.exe
F:\Programme\DT\Sinus 1054 data\Wifiusb.exe
F:\Programme\SSH Communications Security\SSH Tectia\SSH Tectia AUX\Support binaries\ssh-broker-gui.exe
F:\Programme\Glass\Glass2k.exe
F:\WINDOWS\System32\wbem\wmiprvse.exe
F:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
F:\WINDOWS\System32\HPZipm12.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
F:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - F:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - F:\Programme\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - F:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - F:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - F:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] F:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] F:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [HP Software Update] F:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE F:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Veoh] "F:\MultimediaProgramme\veoh player\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [Microsoft Location Finder] "F:\Programme\Microsoft Location Finder\LocationFinder.exe"
O4 - HKCU\..\Run: [ICQ] "F:\Programme\ICQ6\ICQ.exe" silent
O4 - Startup: Adobe Gamma.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Desktop Sidebar (2).lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = F:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = F:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: madotate.lnk = F:\Programme\modate\madotate.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PalStart.lnk = F:\Programme\Paltalk Messenger\palstart.exe
O4 - Global Startup: Privoxy.lnk = F:\InternetProgramme\Tor_Bundle\Privoxy\privoxy.exe
O4 - Global Startup: Sinus 1054 data.lnk = F:\Programme\DT\Sinus 1054 data\Wifiusb.exe
O4 - Global Startup: SSH Tectia Broker.lnk = F:\Programme\SSH Communications Security\SSH Tectia\SSH Tectia AUX\Support binaries\ssh-broker-gui.exe
O4 - Global Startup: Verknüpfung mit Glass2k.lnk = F:\Programme\Glass\Glass2k.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download with &DAP - F:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - F:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - F:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - F:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - F:\Programme\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - F:\InternetProgramme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - F:\InternetProgramme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\InternetProgramme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\InternetProgramme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - F:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1EE54BD-0D34-4DE9-BB04-6407463EC97F}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: MCPClient - F:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WB - F:\ZUBEHR~1\WINDOW~1\fastload.dll
O23 - Service: Adobe LM Service - Adobe Systems - F:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - F:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - F:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\ZubehörProgramme\TuneUp2006\WinStylerThemeSvc.exe

mfG

Gosling

Also erstmal les doch bitte Die vorigen Meldungen über dieses Thema, da wird auch beschrieben, was das beste ist, dagegen zu tun. Am besten ist es das System noch einmal neu aufzusetzen...

Yoa würde ich ja tun...

Allerdings ist keines der anderen Probleme bei mir aufgetreten. Weder hab ich irgendwem was geschickt über msn, noch sind andere Viren aufgetaucht und erkannt worden, noch habe ich was anderes getan außer die zip wieder zu schreddern.

Ich setze ungern Systeme wieder auf. Dachte nur man könne aus dem HijackThis rauslesen ob irgendein Befall überhaupt vorhanden ist, da ja bei den meisten irgendeine Datei markiert war.

Sollte man das nicht erkennen können

Setze ich natürlich das System neu auf.

mfG

Gosling

Hi,

der typische Eintrag im HijackThis fehlt bei dir. Es sieht danach aus, dass Antivir in letzter Sekunde eingeschritten hat und Du das auch zugelassen hast. In Zukunft solltest Du aber mit Links und Dateien in Chat und Messenger vorsichtiger sein, denn es kann immer sien dass Antivir sie nicht erkennt. Hättest Du diese Datei 24 Stunden vorher angenommen oder wäre dein Antivirupdate länger her gewesen, dann wäre es passiert gewesen. Vielleicht lässt sich de Messenger ja, wenn Du schon nicht verzichten kannst, so einstellen, dass Dateiangebote automatisch ignoriert werden. Das muss der Geschwätzigkeit ja keinen Abbruch tun.

Gruß, Karl

Puh tausend dank fürs durchkucken. Werde wie ich mich leider kenne jetzt nen halbes Jahr übervorsichtig sein und mir spätestens innem Jahr wieder die Finger verbrennen.

Hab mir grade zur Sicherheit mal Ubuntu aufgespielt auf ne zweite Festplatte.

Werde das jetzt dennoch mal die nächsten Wochen beobachten...

Vielen Dank

mfG

Gosling