Hallo zusammen,

zuerst muß ich mal sagen, das ich es echt super finde das es euer Hilfeforum gibt. Ich habe euch "ergoogelt" und hoffe das ihr mir weiterhelfen könnt.

Ich nutze den Virenscanner Avast, welcher seit Wochen folgenden Virus findet:

Virus name: Win32:Trojan-gen. {VB}
File name: C:\System Volume Information\_restore{6DB9B88C-097F-4DEC-8AC6-DE8884E9EAC2}\RP197\A0058416.exe

Leider bekomme ich dieses Mistding nicht von meinem Rechner runter, geschweige denn irgend eine weitere Information zu dem Ding.

Könnt Ihr mir vieleicht weiterhelfen?

Markus (DPU)

Hallo seamoon,

willkommen im Forum.

Wenn Du das Forum "ergoogelt" hast kann Dir das doch nicht entgangen sein?
Aber OK, erstelle einen HijackThis Log http://www.trojaner-board.de/51130-a...ijackthis.html (Lowspeed Download wählen) und poste es hier ins Forum. Dannach wird Dir sicher geholfen werden.

Organic

Hallo Organic,

danke für Deine Antwort.
Das Google-ergebniss habe ich auch bekommen, allerdings steht das fast immer in Klammern VC hinter und nicht VB wie bei mir. Die wenigen Matches mit VB sind leider in russisch (oder sowas in der Art).

Aber hier nun der Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 11:08:04, on 28.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\ashserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PVSW\Bin\W3DBSMGR.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Maximizer\Maxwin.exe
C:\Programme\Maximizer\MaData6\MaData6.dat
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\Dokumente und Einstellungen\Markus.CS\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\Programme\Alwil Software\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - Global Startup: Pervasive.SQL Workgroup Engine.lnk = C:\PVSW\Bin\W3DBSMGR.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093868428801
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domain.de
O17 - HKLM\Software\..\Telephony: DomainName = domain.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCAB0D1A-B011-455D-B8C9-22E8A59EA9FA}: NameServer = 111.111.111.111,111.111.111.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domain.de

Ich hoffe das ihr hieraus mehr erkennen könnt als ich

Markus (DPU)

Fixe dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1093868428801
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab


Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Hallo Christian,

habe nun nach Deinen Anweisungen gehandelt; HijackThis hat die von Dir beschriebenen Einträge gefixed und ich habe mit escan im abgesicherten Modus folgendes erhalten:

File C:\WINDOWS\system32\IEHost.EXE infected by "TrojanDownloader.Win32.Turown.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\terrabyte.exe infected by "TrojanDownloader.Win32.Turown.g" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\unwise.exe infected by "TrojanDownloader.Win32.Turown.i" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Markus.CS\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\incredimail_install.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\Programme\Alwil Software\Avast4\DATA\chest\00000012 infected by "TrojanDownloader.Win32.VB.cw" Virus. Action Taken: No Action Taken.
File C:\Programme\Alwil Software\Avast4\DATA\chest\00000013 infected by "TrojanDownloader.Win32.VB.cw" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\pcs\pcsvcAccess.ocx tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken.


Hmm, habe langsam den Eindruck das meine Büchse "leicht" verseucht ist.
Allerdings wäre es wirklich klasse, wenn ich um eine Neuinstalation herum kommen könnte.

Markus (DPU)

@seamoon
der turown
http://www.pestpatrol.com/PestInfo/t...2_turown_b.asp
der downloader
http://www.pestpatrol.com/pestinfo/t...r_win32_vb.asp
ich würde die von escan angegebene dateien in den abgesicherten modus und deaktivierten Systemwiederherstellung manuell löschen.

hast du kein virenscanner installiert? würde ich nachholen.
neu starten, systemwiederherstellung aktivieren
lade dir folgendes:Clearprog www.clearprog.de
adaware www.lavasoft.de
spybot http://www.spybot.info/de/index.html
update diese programme und laufen lassen.
anschließend ein neues Hijackthislogfile posten
chaosman

...so, alle Anweisungen befolgt und das System ist fast sauber :aplaus:
Habe noch das Tool Spyware Doctor im Einsatz, welches folgendes findet:

WhenU
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\1\3##MRUListEx

Nur leider finde ich diesen Eintrag nicht in meiner Registrierung (3##MRUListEx)

Da bräuchte ich nochmals eure Hilfe

@chaosman: Selbstverständlich habe ich einen Virenscanner im Einsatz (Avast 4.0) und sitze meist sogar hinter zwei Firewalls... Irgendwie hat das Netz früher mehr Spaß gemacht

Markus (DPU)

...achso, hier nochmals mein Hijack-Log:

Logfile of HijackThis v1.98.2
Scan saved at 18:26:36, on 28.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\ashserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Alwil Software\Avast4\ashDisp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\spydoctor.exe
C:\PVSW\Bin\W3DBSMGR.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\user\Desktop\AntiVir\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\Programme\Alwil Software\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - Global Startup: Pervasive.SQL Workgroup Engine.lnk = C:\PVSW\Bin\W3DBSMGR.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domain.de
O17 - HKLM\Software\..\Telephony: DomainName = domain.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCAB0D1A-B011-455D-B8C9-22E8A59EA9FA}: NameServer = 111.111.111.111,111.111.111.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domain.de

sieht für mich ganz passabel aus, oder?

Markus (DPU)

Sieht sauber aus - ja.

Als erstes möchte ich euch allen Danken für eure schnelle und kompetente Hilfe.

DANKE

Allerdings ist da noch eine Sache,

Zitat:

Zitat von seamoon

Habe noch das Tool Spyware Doctor im Einsatz, welches folgendes findet:

WhenU
HKCU\Software\Microsoft\Windows\ShellNoRoam\BagMRU\1\3##MRUListEx

Nur leider finde ich diesen Eintrag nicht in meiner Registrierung (3##MRUListEx)

Hat da vieleicht noch jemand eine Idee?

Markus