hallo zusammen,

erstemal muss ich sagen, dass ich absolut kein experte bin. entschuldigung, falls ich mich nicht richtig ausdrücke oder etwas dumm anstelle, aber ich gebe mein bestes.

habe schon das halbe internet abgesucht, aber teils keine passenden infos gefunden und anderen teils sie falsch umgesetzt bzw weiss ich grad nicht mehr weiter.

ich hatte/habe? einige probleme mit meinem labtop. gestern hatte avg einen trojan downloader zlob.SUS entdeckt. ewig habe ich das internet abgesucht aber nirgends war etwas zu denen mit der endung sus zu finden. (ist das vielleicht neu?)
jedenfalls habe ich dann einfach von avg die 2 damit verbundenen einträge gelöscht. weiter gab es aber noch die meldung, dass die datei shell.dll geändert wurde. wieder habe ich alles abgesucht und dieses mal auch einige infos gefunden aus denen ich aber nicht so recht schlau wurde. habe dann einfach einige anweisungen aus eurem board befolgt und programme um das cache etc zu säubern gemacht und außerdem smitfraud.fix ausgeführt, mehrmal.
heute habe ich nochmal weitergesucht und mir dummerweise spyhunter runtergeladen. so ein mist.
als ich dann gelesen habe, was das programm alles macht habe ich es erst einfach so im explorer gelöscht. dann musste ich eine microsoft pc wiederherstellung machen (mache ich öfters, weil ich zur zeit probleme mit itunes habe und hier sowieso alles spinnt, egal) und als dafür meinen pc im admin mode starten wollte war spyhunter immernoch installiert. es kamen ein paar seltsame meldungen von meiner keiro firewall an die ich mich nicht mehr genau erinnere leider, es ging um das zulassen von irgendeinem befehl.
nun, dann habe ich spyhunter mit der software unter systemsteuerung gelöscht und nochmal in der registry danach gesucht. und dann auch alle einträge die zu spyhunter kamen gelöscht. (ich bekam irgendwie panik) war das schlimm? waren ziemlich viele.
dann habe ich nochmal die ganzen sachen wie oben beschrieben zum zlob entfernen gemacht inklusive einer pc wiederherstellung.
ist jetzt endlich alles runter? bzw, was ich bei anderen las, da war das nicht so leicht bzw noch viel versteckt. bei mir auch? es wäre wirklich sehr nett, wenn ihr mir weiterhelfen könnten, deswegen poste ich jetzt mal ein HijackThis file.



Logfile of HijackThis v1.99.1
Scan saved at 16:55:46, on 22.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\admin\LOKALE~1\Temp\Rar$EX01.422\Hijac kThis.exe

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

weiss denn niemand rat, wie ich die trojaner von meinem laptop entfernen kann?

Hallo,

Lade doch mal Adaware herunter und mache damit einen Scan und lösche, was du findest. Mache mit AVG einen kompletten Scan und schau, ob noch etwas gefunden wird. Probiere auch andere Virenscanner aus wie Antivir und avast. Lass aber nicht mehrere Antiviren gleichzeitig auf dem Computer laufen.

Mit freundlichen Grüssen
Power

danke, das probiere ich mal aus!



ansonsten hab ich jetzt inzwischen einen escan gemacht.





1. das protokoll sagt:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.3
Sprache: German
Virus-Datenbank Datum: 12/22/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\SWSETUP\INETSEC06\GR\NAV\External\NORTON\NAVAPW 32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP21\A0006497.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Software\SWSETUP\INETSEC06\GR\NAV\External\NORT ON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP83\A0021355.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Zlob.fia" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP86\A0030102.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Zlob.fia" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix\Reboot.ex e markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix\Reboot.ex e markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Prof iles\5qrt1xu9.default\Cache(2)\63329BDCd01//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP85\A0021544.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP85\A0021567.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP85\A0021574.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP86\A0021755.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP86\A0021775.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP86\A0021782.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\process.e xe
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\reboot.ex e
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 107207
Gefundene Viren: 28
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 12
Dauer des Scans bisher: 00:33:44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:28:21,65
Batchende: 21:28:25,93





2. in der escan anleitung hier vom board steht, dass man nach dem escan auf die find.bat klicken soll und das, was im folgefenster erscheint hier posten soll. das ist aber sehr groß, deswegen habe ich es hochgeladen auf:
http://www.file-upload.net/download-570212/MWAV.LOG.html





3. weil mir das etwas komisch vorkam, dass das zu groß ist um es hier einfach zu posten habe ich danach noch ein zweites mal draufgeklickt. dieses mal war der text geringer, es stand dort das:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.3
Sprache: German
Virus-Datenbank Datum: 12/22/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\SWSETUP\INETSEC06\GR\NAV\External\NORTON\NAVAPW 32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP21\A0006497.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Software\SWSETUP\INETSEC06\GR\NAV\External\NORT ON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP83\A0021355.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Zlob.fia" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP86\A0030102.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Zlob.fia" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix\Reboot.ex e markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix\Reboot.ex e markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Prof iles\5qrt1xu9.default\Cache(2)\63329BDCd01//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP85\A0021544.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP85\A0021567.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP85\A0021574.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP86\A0021755.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP86\A0021775.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP86\A0021782.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\process.e xe
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\reboot.ex e
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~










was jetzt?

Kann es sein, dass du den Text mehrfach in die Antwort kopiert hast?


Die find.bat ist dazu da, aus dem langen MWAV.log die relevanten Einträge herauszufischen. Insofern war alles richtig was du gemacht ahst. :aplaus:

Die einzig noch vorhandenen Einträge sind:

Zitat:

Datei D:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP83\A0021355.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Zlob.fia" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP86\A0030102.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Zlob.fia" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Das heißt es reicht, wenn du heute abend vorm ausschalten deines Rechners unter Start->Systemsteuerung->Systemwiederherstellung die Systemwiederherstellung deaktivierst.

Morgen kannst du sie dann wieder einschalten und dein Rechner sollte sauber sein!

Die restlichen Einträge sind Fehlalarme.

lg myrtille

waah!



danke!!


ich bin so erleichtert.
ihr seid spitze, danke für die hilfe!

Gern geschehen

hm, also nachdem alles erst funktionierte ist jetzt auf einmal mozilla firefox beim aufbau der seiten extrem langsam, außerdem ist zb auf myspace keine musik mehr zu hören, wenn die einzelnen player laufen. poste nochmal aktuell hijackthis. wäre nett, wenn nochmal jemand schauen könnte, denn irgendwas stimmt einfach nicht.
avg findet übrigens nichts, außer wieder, wie zu beginn, dass shell.dll geändert wurde.

Logfile of HijackThis v1.99.1
Scan saved at 16:23:48, on 24.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\admin\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

habe jetzt zusätzlich nochmal einen escan gemacht. (s.u.) wäre nett, wenn mir jemand einen tip geben könnte.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.6.3
Sprache: German
Virus-Datenbank Datum: 12/24/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\SWSETUP\INETSEC06\GR\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\Software\SWSETUP\INETSEC06\GR\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5qrt1xu9.default\Cache(2)\63329BDCd01//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\admin\Desktop\smitfraudfix\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\sebastian\Lokale Einstellungen\Temp\eg6owote.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\sebastian\Lokale Einstellungen\Temp\w4we13em.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 79152
Gefundene Viren: 19
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 15
Dauer des Scans bisher: 00:49:44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:27:40,50
Batchende: 17:27:55,14