Hi zusammen,

ich bin verwirrt über folgende Melung von "Anti Vir 6.0"

C:\WINDOWS\SYSTEM32\COUNTER.EXE

Diese Datei enthält verdächtigen Code Heuristic/Trojan.FWKiller

C:\SYSTEM VOLUME INFORMATION\_RESTORE{0A3796DE-9326-4739-8CFC-2A68D3709CCF}\RP15\A0003360.EXE

Diese Datei enthält verdächtigen Code Heuristic/Trojan.FWKiller

Ich habe meinen Rechner erst neu aufgesetzt, benutze Win xp professionell und habe absolut keine Ahnung was es damit auf sich hat.

Vielen Danke für eure Hilfe

Gruß, Lombale

Hallo Lombale,

lade Dir bitte eScan runter - entsprechend der Anweisung - (Downloadlink und Erklärung), Näheres dazu in meiner Signatur unter "TI Hijacker-Rubrik". eScan muss in das Verzeichnis c:\bases kopiert werden (Verzeichnis bitte erstellen), online geupdatet und offline im abgesicherten Modus ausgeführt werden. Der Scan nimmt einige Zeit in Anspruch.

Poste danach bitte ein Logfile. Wie Du es erstellen kannst und den Link zum Download, findest Du hier: http://www.trojaner-board.de/51130-a...ijackthis.html

SD

Dies könnte ein Fehlalarm von AntiVir sein.
Bitte schicke mal die Dateien an partytime-germany.ice@web.de .

Du kannst aber auch die Dateien an virus@free-av.de senden und erläutern, warum du denkst, dass dies ein Fehlalarm ist.

Hi Shadowdance,

habe es mit eScan gemacht, es wurden auch etliche angezeigt, das Logfile von Hijack zeigt aber diese Sachen nicht an.

Logfile of HijackThis v1.98.0
Scan saved at 12:30:52, on 26.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Outlock.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
E:\Neuer Ordner\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [cmssSystemProcess] C:\WINDOWS\System32\csmss.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Outlock.lnk = C:\WINDOWS\Outlock.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B41C43FE-6CF6-4C14-854E-43E2D596B708}: NameServer = 217.237.150.33 194.25.2.129

Hallo Christian,

ich denke nicht, dass es ein Fehlalarm ist, da meine Internetverbindung nach ca. 1 Stunde dermaßen an Geschwindigkeit einbußt, dass ich den Rechner neu starten muss.

Gruß

Lombale

Aktualisiere Dein Windows (mindestens auf SP1 + Patches) + IE
Nimm ein aktuelles HiJackThis

Wir sind doch nicht im Museum oder?


Und such mal die Datei und lasse dir die Eigenschaften anzeigen
Version, Hersteller, Datum, Größe etc...

Auch in einem Museum gibt es gutes zu sehen ;-)

Das SP1 wollte ich mir aufspielen, jedoch geht es nicht, da Microsoft mir sagt, dass mein BS nicht auf legale Weise erworben wurde.

Trotzdem Danke für Deine nette Antwort

Dann würd´ ich es mal mit SP2 versuchen

Klappt vielleicht.


Domino

Hättest du die Dateien bereits an partytime-germany.ice@web.de geschickt, dann wüssten wir jetzt alle mehr .....

Hallo Christian,

welche Dateien soll ich dorthin schicken?

Gruß

C:\windows\system32\counter.exe
C:\system Volume Information\_restore{0a3796de-9326-4739-8cfc-2a68d3709ccf}\rp15\a0003360.exe

Habe sie hin geschickt...

Die Dateien sind nicht angekommen, sondern nur eine E-Mail ohne Dateien.

Hallo

Zitat:

C:\system Volume Information\_restore{0a3796de-9326-4739-8cfc-2a68d3709ccf}\rp15\a0003360.exe

Vom Versand dieser Datei würde ich abraten: Einfach Systemwiederherstellung abschalten - und Tschüss . Info: http://www.systemwiederherstellung-d...indows-xp.html

Ja, aber H+B verändert deswegen auch nicht die Heuristik bzw. die Erkennung.
Also, ruhig her mit der Datei.