Hallo,

ich habe mir neulich einen Virus eingefangen(fragt mich nicht wie). Habe Hijack this drüber laufen lassen.
Hier der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:23:16, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\KGB\Mpk.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
\Bos-27f5f619908\neuer ordner\HijackThis-1\HijackThis.exe

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {E8249E69-A809-4544-832F-64EB65747A92} - C:\Programme\Video Add-on\isfmdl.dll (file missing)
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.securesoftwarefeed.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.securesoftwarefeed.com/redirect.php (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe



Ps: Bitte helft mir habe echt keine Ahnung was das sein könnte!!!
(Das ist rechts unten in der Symbolleiste so ein kleines Schild. Das
wechselt immer mal ist es rot und ein weisses kreuz mal blau und ein
weisses Fragezeichen(im Sekundentakt). Hoffentlich hilft euch das
einwenig!)

Danke im Voraus


MfG


Keks

Hi,

öffne das HijackThis klicke den Button "scan", und mache vor diese Einträge ein häckchen:

Zitat:

O2 - BHO: (no name) - {E8249E69-A809-4544-832F-64EB65747A92} - C:\Programme\Video Add-on\isfmdl.dll (file missing)

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www.securesoftwarefeed.com/redirect.php]IE[/url] Anti-Spyware(file missing)

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www.securesoftwarefeed.com/redirect.php]IE[/url] Anti-Spyware (file missing)

Dann Button "Fix checked" klicken, anschließend PC neustarten
---

Danach:

- Neues Hijackthislog posten
- Posten, wo sich der Virus befindet. (Beisp.: "C:\WINDOWS\system...")

Hallo 11Boy11,

erstmal danke für deine Antwort!
jetzt habe ich aber ein Problem!
und zwar habe ich wie du gesagt hast hijack this Laufen lassen(auf Scan klicken)
und dann gibt der mir plötzlich nur noch das hier???


Logfile of HijackThis v1.99.1
Scan saved at 20:52:18, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\KGB\Mpk.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hi,

Hast du die Sachen gefixt, die ich geschrieben habe?

Das ist es ja...
Die Sahcen die ich fixen sollte sind nicht mehr da!!!
Den (alten)Logfile habe ich noch. Aber wenn ich jetzt HiJack This Laufen Lasse zeigt er mir nur noch den unten angegebenen Logfile.






Logfile of HijackThis v1.99.1
Scan saved at 20:52:18, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\KGB\Mpk.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Nunja,

nicht so schlimm. Der neue Log sieht auf jedenfall nicht so schlimm aus, wie der erste.
Besteht dein Problem weiterhin mit dem Schild in der Symbolleiste?

Ja leider.
Nach einer Zeit kommt immer so eine Fehlermeldung von diesem Symbol.

Das Der PC Infiziert ist. wenn ich dann auf das kleine "x" klicke öffnet sich der IE auf eine seite wo ich was runterladen soll.

Hmm,

sowas ähnliches hatte ich auch schonmal.
Lade die datei bloß nicht runter, die du runterladen sollst, die ist nämlich voller Viren.

Kam bei dir in den letzten Tagen eine Virenmeldung?

Lass' mal CureIt über dein System laufen (Siehe Signatur von mir)

Der zeigt mir auch an, dass es keine gibt/er keine gefunden hat(so weit ich das sehe).


Wie hast du deinen Virus damals besiegt?

Bei mir kam so ein Fenster nur 3-4 mal, danach kam nichts mehr.

Habe mir nun mal den HJT aus deiner Signatur runtergeldaen. Der zeigt mir wieder mehr an. Hier LogFile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22:47, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\KGB\Mpk.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Video Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O22 - SharedTaskScheduler: eaton - {d8b937a4-cdad-497b-a872-8da7c4c3ef6f} - C:\WINDOWS\system32\tvtpwp.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 1790 bytes

Zitat:

Habe mir nun mal den HJT aus deiner Signatur runtergeldaen. Der zeigt mir wieder mehr an.

An dem Log ist aber nicht viel auszustetzen.
Hast du CureIt über dein System laufen lassen?

Ja habe ich der zeigt mir an das er keine gefunden hat.
Habe mich mal im Internet ein bisschen schlau gemacht und gesehen, dass es bei Google auch eine LogFile Auswertung gibt. Der sagt mir, dass die Dateien

O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Video Add-on\isfmntr.exe

äußerst schädlich sind
und bei der Datei

O22 - SharedTaskScheduler: eaton - {d8b937a4-cdad-497b-a872-8da7c4c3ef6f} - C:\WINDOWS\system32\tvtpwp.dll


ist er sich nicht sicher

Nunja, in solchen Auswertungen steht auch oftmals viel unsinn...
Aber versuchs doch mal die 3 dateien zu fixen, dann sehen wir mal weiter.

Was muss man eig genau beim Fixen machen? Habe nun die Häkchen reingemacht auf "FixChecked" gegangen dann kam eine Meldung ob ich das wirklich mahcen möchte, dann habe ich auf "Ja" geklickt und dann war das Weisse Kästchen(wo vorher die Dateien drin waren) Leer.