sorry, mich interessiert es sehr wohl, was ihr mir ratet. sonst hätte ich ja nicht um hilfe gebeten. ich will diesen virus ja loswerden.

Aber mit "ich hab alles gemacht" meine ich das, was *christian* mir geraten hat. Ich hab den escan durchgeführt und die (4) gefundenen dateien gelöscht. und dann ein neues log gepostet.

jedenfalls hab ich jetzt auch alles gemacht was du gesagt hast. nur C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
lies sich nicht löschen, weil ich das programm angeblich in betrieb ist. ist es aber nicht.

hab jetzt als letztes den escan erneut durchgeführt und er hat jetzt nur noch einen virus gefunden:
c:\ ... \Tempor~1\Content.IE5.NRPRJTKW\Starinstall[1].ocx

soll ich die dateien einfach löschen? Hab echt keine ahnung. Ist der bds/agent weg? soll ich noch mal ein hijacklog posten?
Sorry, aber wär echt froh wenn ihr mir helfen könntet.

jojo123

@ jojo123

ich verstehe nicht, wieso der eScan nicht aus Deinem Logfile ersichtlich ist, wenn Du ihn durchgeführt hast. Normalerweise sieht man ihn in den laufenden Prozessen .. ich sehe ihn nicht.

Zitat:

C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
lies sich nicht löschen, weil ich das programm angeblich in betrieb ist. ist es aber nicht.

--> HijackThis- Anleitung --> Button Delete a file on reboot... bitte lesen und tun.

Zitat:

c:\ ... \Tempor~1\Content.IE5.NRPRJTKW\Starinstall[1].ocx

--> Lade das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Erstelle dann bitte ein neues Hijack This Logfile und poste es.

SD

Also,
das P2P Networking hab ich gelöscht. Genauso wie die Temporary Internetfiles etc. mit dem Programm.

Hier ist das neue Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 11:25:43, on 24.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Intel\Switching\User\RoamSvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\IVONNE\Eigene Dateien\Downloads\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab


Aber ich versteh davon nur bahnhof. Ist der starinstaller oder was das war jetzt weg? Aber das ist nicht der bds/agent oder? weil diese pnt... Datei ist immer noch da.
Sorry, aber hab echt keien Ahnung von sowas.
Danke,
jojo

Hallo jojo123,

um diese Fragen beantworten zu können, bitte ich Dich um Deine Mitarbeit. In welchem Ordner befindet sich der eScan auf Deinem System? Wenn Du es nicht mehr weisst, gib bitte unter "Arbeitsplatz" in die Windows Suche "mwav.exe" ein, suche sie, kopiere den Pfad und gib den Pfad und den Datei-Namen hier an. Suche dann auf die gleiche Weise die Datei "kavupd.exe" und "mwav.log" ... gib jeweils Pfad und Deiteiname hier im Forum an (Dateien finden).

SD

Hallo Shadowdance,

Klar. Also,

mwav.exe: C:\Dokumente und Einstellungen\IVONNE\Eigene Dateien\Downloads

kavupd.exe: gibt es nicht ?!?

mwav.log: C:\Dokumente und Einstellungen\IVONNE\Eigene Dateien

jojo

@ jojo123,

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

Du hast so zu sehen, den Inhalt der "mwav.exe" auf Deinem System verteilt. Es handelt sich dabei um eine grössere Menge Dateien, die Du nun eigentlich löschen müsstest, aber dazu müsste ich Dir alle zu löschenden Dateien einzeln angeben .. das ist mir momentan zuviel Arbeit. --> Weiss jemand von Euch, wie man es schafft, alle Dateien des eScan auf einen Schlag zu kopieren und hier rein zu geben? Damit jojo123 die richtigen Dateien löscht? Gut, verschieben wir das ...

@ jojo123, sei bitte so nett und vergiss den eScan, den Du Dir runtergeladen hattest ... er kann nicht funktionieren, da Du die Gebrauchsanweisung nicht gelesen hast. Die Gebrauchsanweisung findest Du in der Anleitung. Also nochmal neu:

lade den eScan - über diesen Link -> Link (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. --> Du musst (!) für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

--> Bitte ALLE Links genau durchlesen!

Teile uns nun bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt

SD

@ shadowdance

ich hab jetzt alles so gemacht wie du gesagt hast. sorry, aber zu schnell klicken und nicht lesen ist ne schwäche von mir. sollte mir das echt merken.

hab jedenfalls jetzt die anleitung genau befolgt. hab erst die datei runtergeladen und alles in c:\bases entpackt. dann online upgedated und dann im abgesicherten modus den escan durchgeführt.

der escan hat aber keinen virus gefunden!

vielleicht hab ich schon wieder was verkehrt gemacht, aber ich hab die anleitung genau befolgt und gemacht was du gesagt hast.

was soll ich tun???

@ jojo123

"öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Kein Ergebnis? Poste dies:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Erstelle ein neues Hijack This Logfile und poste es.

SD

@ shadowdance

Also ich habe "infected" eingegeben bei suchen. Das steht in der mwav.log:

Wed Nov 24 15:21:58 2004 => Total Files Scanned: 3160
Wed Nov 24 15:21:58 2004 => Total Virus(es) Found: 0
Wed Nov 24 15:21:58 2004 => Total Disinfected Files: 0
Wed Nov 24 15:21:58 2004 => Total Files Renamed: 0
Wed Nov 24 15:21:58 2004 => Total Deleted Files: 0
Wed Nov 24 15:21:59 2004 => Total Errors: 0
Wed Nov 24 15:21:59 2004 => Time Elapsed: 00:03:35
Wed Nov 24 15:21:59 2004 => Virus Database Date: 2004/11/24
Wed Nov 24 15:21:59 2004 => Virus Database Count: 110416

Wed Nov 24 15:21:59 2004 => Scan Completed.


Und hier von hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 10:21:30, on 25.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Intel\Switching\User\RoamSvc.exe
C:\Programme\Microsoft Office\Office\POWERPNT.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\IVONNE\Eigene Dateien\Downloads\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

Danke, jojo

@ jojo123,

sende bitte diese Datei

C:\WINDOWS\System32\RoamMgr.exe

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken.

SD

@shadowdance

Ich hab die datei passwortgeschützt an die beiden adressen gesendet.
Schon vielen Dank für deine Hilfe soweit. Aber was ist jetzt mit dem virus? Ist das diese datei? Oder ist der virus weg?

Danke, jojo

Hallo jojo123,

ich hab jetzt versucht Deinen Virus zu finden, das ist mir aber auch nicht gelungen. Du hattest auf unsere Empfehlung hin das ClearProg geladen und vermutlich ausgeführt, es kann also sein, dass Du damit auch den Virus los geworden bist.

Im Logfile des eScan steht, dass es keine Viren auf Deinem System gab. Dein Hijack This Logfile habe ich in der automatischen Auswertung abgespeichert, in deutsch. Dort bleibt es ca 5 Tage im Netz. Es gibt noch ein paar gelbe Fragezeichen, die Du bei virusscan.jotti.dhs.org untersuchen kannst.

Einen Virus sehe ich nicht.

Wenn Du keine Probleme mehr mit Deinem System hast, sollte es damit erledigt sein. Hier noch ein paar Tipps und denk über einen Browserwechsel nach:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

SD

Sorry, wenn ich mich da einmische, aber ich sehe gerade folgendes

Zitat:

Wed Nov 24 15:21:58 2004 => Total Files Scanned: 3160
Wed Nov 24 15:21:58 2004 => Total Virus(es) Found: 0
Wed Nov 24 15:21:58 2004 => Total Disinfected Files: 0
Wed Nov 24 15:21:58 2004 => Total Files Renamed: 0
Wed Nov 24 15:21:58 2004 => Total Deleted Files: 0
Wed Nov 24 15:21:59 2004 => Total Errors: 0
Wed Nov 24 15:21:59 2004 => Time Elapsed: 00:03:35
Wed Nov 24 15:21:59 2004 => Virus Database Date: 2004/11/24
Wed Nov 24 15:21:59 2004 => Virus Database Count: 110416

=> das System wurde nicht gescannt, 3160 Files sind einfach zu wenig! eScan erneut durchführen und diesmal "all local drives" auswählen.
mfg Haui

Also, schon vielen dank für eure Hilfe. Dieses Forum wird absofort Nr. 1 in meinen Favoriten ;-)

Aber ich bin mir noch nicht so ganz sicher ob der virus jetzt weg ist. kann wirklich sein, dass ich ihn gelöscht habe, da mein antivir auch nicht mehr anschlägt. hab jetzt erst mal meien Firewall installiert und werde dann auch deine anderen Tips befolgen.

Und ich hab auch noch mal den escan durchgeführt. Dachte zwar, dass ich beim letzten mal auch alle dateien gescannt hatte, aber anscheinend wohl nicht. Jedenfalls kam das bei raus:

Tue Nov 30 10:04:29 2004 => ***** Scanning complete. *****

Tue Nov 30 10:04:29 2004 => Total Files Scanned: 9505
Tue Nov 30 10:04:29 2004 => Total Virus(es) Found: 0
Tue Nov 30 10:04:29 2004 => Total Disinfected Files: 0
Tue Nov 30 10:04:29 2004 => Total Files Renamed: 0
Tue Nov 30 10:04:29 2004 => Total Deleted Files: 0
Tue Nov 30 10:04:29 2004 => Total Errors: 1
Tue Nov 30 10:04:29 2004 => Time Elapsed: 00:08:13
Tue Nov 30 10:04:29 2004 => Virus Database Date: 2004/11/30
Tue Nov 30 10:04:29 2004 => Virus Database Count: 110982

Tue Nov 30 10:04:29 2004 => Scan Completed.

Also auch kein virus. Vielleicht ist er dann weg. Wir werden sehen. Ich warte erst mal und werd ja merken wenn mein antivir anschlägt. Wenn er wieder kommt, werde ich mich vertrauensvoll an shadowdance wenden (danke für die geduld!).

Thanx, jojo