Hallo

bitte kann mir jemand sagen wie ich diesen Virus vom Pc entfernen kann?

hier mal von Antivir das Ergebnis des Suchlaufs.



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 10. August 2007 18:34

Es wird nach 1006464 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer:
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername:
Computername:

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 25.04.2007 19:31:14
AVSCAN.DLL : 7.0.4.0 41000 Bytes 25.04.2007 19:31:13
LUKE.DLL : 7.0.4.11 143400 Bytes 25.04.2007 19:31:30
LUKERES.DLL : 7.0.4.0 10792 Bytes 25.04.2007 19:31:30
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:44
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 21:34:38
ANTIVIR2.VDF : 6.39.0.207 1077248 Bytes 02.08.2007 12:23:21
ANTIVIR3.VDF : 6.39.0.221 126976 Bytes 08.08.2007 17:03:09
AVEWIN32.DLL : 7.4.0.57 2707968 Bytes 04.08.2007 12:23:22
AVWINLL.DLL : 1.0.0.7 14376 Bytes 25.04.2007 19:31:15
AVPREF.DLL : 7.0.2.1 24616 Bytes 25.04.2007 19:31:11
AVREP.DLL : 7.0.0.1 155688 Bytes 25.04.2007 19:31:32
AVPACK32.DLL : 7.3.0.15 360488 Bytes 04.08.2007 12:23:22
AVREG.DLL : 7.0.1.2 31784 Bytes 25.04.2007 19:31:12
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 25.04.2007 19:31:03
AVARKT.DLL : 1.0.0.17 278568 Bytes 09.05.2007 19:16:48
NETNT.DLL : 7.0.0.0 7720 Bytes 25.04.2007 19:31:30
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 25.04.2007 19:30:09
RCTEXT.DLL : 7.0.45.0 86056 Bytes 25.04.2007 19:30:09

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 10. August 2007 18:34

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PROFIL~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sc_watch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kernel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MIXER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ymsgr_tray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchApplication.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StyleXPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '11' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Security Task Manager\TaskMan.exe
[FUND] Ist das Trojanische Pferd TR/PSW.LdPinch.bex.78
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '472f9a91.qua' verschoben!

Ende des Suchlaufs: Freitag, 10. August 2007 20:35
Benötigte Zeit: 2:01:35 min

Der Suchlauf wurde vollständig durchgeführt.

5648 Verzeichnisse wurden überprüft
236955 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
236954 Dateien ohne Befall
2584 Archive wurden durchsucht
2 Warnungen
4 Hinweise
0 Versteckte Objekte wurden gefunden


Lg
schnekke

Aloha und Willkommen,

Zitat:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Diese beiden Dateien sind harmlos.
Die pagefile.sys ist deine Auslagerungsdatei,
Die hiberfil.sys ist deine Datei für den Hibernate-Modus

Das könnte ein klassischer Fehlalarm sein.

Zitat:

C:\Programme\Security Task Manager\TaskMan.exe

Lasse diese Datei mal sicherheitshalber bei Virustotal auswerten. VirusTotal - Kostenloser online Viren- und Malwarescanner

Gruss Felixx

das prob kenn ich,hab ich selbst zz auch(so es denn eins ist)
sogar die selbe source(security task manager)
jotti sagt dazu:

Entdeckte Packprogramme:
PE_PATCH
Bit9 rapportiert: No threat detected (more info)

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Trojan.Psw.Ldpinch.Bex gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Trojan-PSW.Win32.LdPinch.bex gefunden

virustotal dazu:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.9.2 2007.08.13 -
AntiVir 7.4.0.60 2007.08.13 -
Authentium 4.93.8 2007.08.13 -
Avast 4.7.1029.0 2007.08.13 -
AVG 7.5.0.476 2007.08.13 -
BitDefender 7.2 2007.08.13 -
CAT-QuickHeal 9.00 2007.08.13 -
ClamAV 0.91 2007.08.13 -
DrWeb 4.33 2007.08.13 -
eSafe 7.0.15.0 2007.08.10 Win32.LdPinch.bex
eTrust-Vet 31.1.5055 2007.08.13 -
Ewido 4.0 2007.08.13 -
weitere Informationen
File size: 1525376 bytes
MD5: b94a844c1c9d5b14f919203b93162489
SHA1: e4fb39178db922e328ad209ebdb5b5d6d3bbfdcf
packers: Unicode

seclab sagt: http://analysis.seclab.tuwien.ac.at/result.php?taskid=e4ec33ff93aacdd4456233beae5f5e00

hab hier auch noch nen sample davon auf cd gesichert,sollte grund zur sorge bestehen und jemand das teil mal zerfluecken wollen

mfg kram

Poste mal dein HJT logfile dann kann ich dir vllt helfen!!
Du kannst es auch auf meiner Homepage ins forum posten^^
EDIT: Link entfernt - schneipi.

na klar doch,hier ists

Logfile of HijackThis v1.99.1
Scan saved at 20:30:43, on 13.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATKKBService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\PROGRA~2\eScan\TRAYSSER.EXE
C:\PROGRA~2\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
C:\PROGRA~2\eScan\TRAYICOS.EXE
C:\PROGRA~2\eScan\AVPMWrap.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\PROGRA~2\eScan\AvpM.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:3476/cgi-bin/ncgir.exe?ONAMX=menu/index.html&DNAMX=ncgir.exe?html/fire_profile.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~2\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~2\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~2\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~2\eScan\avpm.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

besten dank schomma

Hallo,

die Meldung von Antivir war ein FP (false positive).
Aktualisiere mal dein Antivir und du wirst feststellen, dass nichts mehr gefunden wird.

Gruß
Gerd

Moin Gerd_R
Willkommen im TB

Hallo rene-gad,

danke für die Willkommensgrüße!

Gruß
Gerd