Hallo zusammen,

ich musste heute morgen beim virenscan feststellen, dass ich den virus JS/Downloader.agent hatte, allerdings wurde dieser nur von AVG und nicht von Antivir entdeckt. Es war mir zuerst nicht möglich den virus zu löschen da mir der zugriff auf den ordner in dem der virus war verweigert wurde. nach dem scan wurde der virus allerdings nicht mehr angezeigt im Testresultat. Aber später nach einer weile kam ein fenster und sagte mir dass dieser virus entdeckt wurde, allerdings konnte ich ihn diesmal in quarantäne stecken und von dort aus sogar löschen, daraufhin scannte ich nocheinmal den ordner wo der virus drin war und mir wurde kein virus mehr angezeigt.

Nun habe ich allerdings schon von jemandem auf diesem forum gelesen der diesen Virus hatte und bin ein bisschen mißtrauische, dass ich ihn so leicht entfernen konnte, der andere jedoch seinen pc formatieren musste.

kann ich denn jetzt sicher sein, dass der virus weg ist???


MfG. Tobi

PS: falls es etwas nützt, hier hab ich den logfile von hijackthis, hoffe ich hab keinen link übersehen:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:22, on 03.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\NetDrive\netdrive.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ArcSoft\TotalMedia\TMMonitor.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NetDrive\wdService.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\PROGRA~1\Grisoft\AVG7\avgw.exe
C:\Programme\ICQ6\ICQ.exe
C:\Dokumente und Einstellungen\Tobias\Desktop\This.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.******.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Programme\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c Direct -p LPT1: -pn "hp LaserJet 1150 PCL 5e" -n 0 -l -sl 120000
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [DTV-DVB MCE CI] "C:\Dokumente und Einstellungen\Tobias\MCECIConsole.exe"
O4 - HKLM\..\Run: [WebDriveTray] C:\Programme\NetDrive\netdrive.exe /trayicon
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Exetender] C:\Programme\Metaboli Player\GPlayer.exe /schedule 300000
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: phase6_16_erinnerung.lnk = C:\Programme\phase6\phase6_16\WinStart\WinStart.exe
O4 - Global Startup: TMMonitor.lnk = C:\Programme\ArcSoft\TotalMedia\TMMonitor.exe
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe

--
End of file - 9011 bytes

Hallo Tobi.

Deinstallier bitte unbedingt einen Av-Scanner! Zwei auf einem System behindern sich gegenseitig. Entscheide dich für einen der Beiden.

Dein System sieht soweit sauber aus. Hast du Probleme?

Wenn du dich für einen Scanner entschieden hast update die Signaturen, wechsel in den abgesicherten Modus (f8 beim Hochfahren) und mache dort einen VollScan.

Hallo, also ich habe ein AV-Programm deinstalliert, leider komme ich weder mit F5 noch mit F8 beim Hochfahren zu dem abgesicherten modus, was ich bei meinem PC heute leider erst erfahren habe, denn ich bin nicht selten bei meiner schwester im abgesicherten modus und nun muss ich festellen, dass ich bei meinem irgendwie gar nicht hineinkomme. Naja auf jeden Fall ich habe im Grunde keine Probleme mit dem Rechner, außer dass ich vor 2 Tagen eine Spiele-Flatrate bei Prosieben erworben habe und nun leider feststellen muss, das der PC, jedes mal wenn ich die Software zum Downloaden von den spielen, laden lasse, oder die software einfach nur aktiv ist, abstürzt und neu hochfährt. Ich denke nicht dass das etwas damit zu tun haben könnte, aber sicher ist sicher deswegen schreib ichs lieber einmal. Daraufhin habe ich unter Systemsteuerung einmal die FUnktion aufgehoben die den PC bei einem Systemfehler neu starten lässt und nun kommt anstatt des neustarts immer ein bluescreen in dem folgendes steht:

Es wurde ein Problem festgestellt. windows wurde heruntergefahren, damit der Computer nicht beschädigt wird.

PAGE_FAULT_IN_NONPAGED_AREA

wenn sie diese Fehlermeldung zum ersten mal angezeigt bekommen, sollten, sie den computer neu starten. wenn diese meldung weiterhin angezeigt wird, müssen sie folgenden schritten folgen:
stellen sie sicher, dass neue hardware oder software richtig installiert ist. fragen sie ihren hardware oder softwarehersteller nach möglicherweise erforderlichen windows-updates, falls es sich um eine Neuinstallation handelt.

falls das Problem weiterhin bestehen bleibt, sollten sie alle neu installierte hardware oder software deinstallieren. Deaktivieren sie bios-optionen wie caching oder shadowing. starten die den computer neu, drücken sie die F8- taste, um die erweiterten startoptionen zu wählen, und wählen sie dann den abgesicherten modus, falls sie zum löschen oder deaktivieren von komponenten den abgesicherten modus verwenden müssen.

technische information:

***STOP: 0x00000050 (0xFF000DE8, 0x00000000, 0x806034E1, 0x00000000)

Speicherabbild des physischen speichers wird erstellt. abbild des physischen speichers wurde erstellt.
wenden sie sich an den systemadministrator oder den technischen support.




aber wie gesagt ich bezweifle dass dies etwas damit zu tun hat, das ist ein ganz anderes Ärgernis.

ich werde nun nochmal versuchen in den abgesicherten modus zu gelangen, doch der pc fährt komischerweise immer ganz normal hoch.

TU Berlin - Virus-Info - Extra-Blatt: Abgesicherter Modus

Jap^^ da bin ich eben auch drauf gekommen als ich google dursuchte, hatte es auch gemacht und antivir laufen lassen, er hat im abgesicherten modus absolut nix gefunden ich hoffe doch das ist ein gutes zeichen ^^

Zitat:

das ist ein gutes zeichen ^^

das denke ich auch

Jap und nochmal danke für die hilfe, wenn ich nochmal ein Problem hab bin ich froh jemanden wie euch im internet zu haben


Gruß Tobi