Danke *Christian*

Dieses kam dann dabei raus:

Sun Oct 31 13:07:03 2004 => File C:\Dokumente und Einstellungen\Tabea\Lokale Einstellungen\Temp\GLF4C2GLF4C2.EXE infected by "TrojanDownloader.Win32.TSUpdate.e" Virus. Action Taken: No Action Taken.
Sun Oct 31 13:08:37 2004 => File C:\Dokumente und Einstellungen\Tabea\Lokale Einstellungen\Temp\tsinstall_4_0_3_3_C9.exe infected by "TrojanDownloader.Win32.TSUpdate.e" Virus. Action Taken: No Action Taken.
Sun Oct 31 13:08:40 2004 => File C:\Dokumente und Einstellungen\Tabea\Lokale Einstellungen\Temp\VT09.exe infected by "TrojanDownloader.Win32.Lookme.e" Virus. Action Taken: No Action Taken.
Sun Oct 31 13:38:44 2004 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*

Hi Tabea ,

lösche deine temporären Internetdateien per Systemsteuerung/Internetoptionen/Allgemein/temporäre Dateien löschen oder mit www.clearprog.de
Ansonsten siehts eigentlich ganz gut aus, du solltest aber eventuell auf einen Alternativbrowser wie opera oder firefox umsteigen und dir für die Zukunft die beschriebenen Dinge zu Herzen nehmen:

http://www.mathematik.uni-marburg.de...ompromise.html

Hy Montain King,

danke für deine Antwort. Clearprog. habe ich mir runtergeladen und auch
gleich die temporären Internetdateien gelöscht. Den IE benutze ich schon lange nicht mehr, sondern OPERA.

Was mir eScan unter infected gezeigt hat, muss man da nichts machen?
Bleibt dies alles auf meinem PC oder sind das keine Schädlinge?
Soll ich den EScan dann wieder runterschmeissen oder kann ich den oben lassen?

So nun hoffe ich doch zu meiner letzten Frage:

Was ist mit der Datei C:\WINDOWS\system32\awdfmsxu.exe . Diese habe
ich ja noch immer auf meinem PC. Habe diese Datei ja an Partytime gesandt und gerade eben diese Antwort erhalten:

Hallo!

In der von dir eingesandten Datei wurde ein neuer Backdoor gefunden.

Ich habe die Datei allen Virenschutzherstellern geschickt, damit diese den Schädling zukünftig erkennen.

Solltest du mal wieder infizierte/verdächtige Dateien haben, so kannst du mir diese gerne schicken.


Gruß,
Christian

Was mache ich nun mit dieser Datei? Kann ich die einfach löschen?

Viele Grüße
Gabi (Tabea ist meine kleine Tochter)

Oh sorry Gabi Wenn du mit clearprog die temporären Dateien gelöscht hast, sind die von E-Scan gefundenen Schädlinge weg, das war ja der Sinn der Sache, denn sie befanden sich im ordner für temporäre Dateien. Wenn du also noch mal sannst, sollten sie nicht mehr gefunden werden.

Du kannst E-Scan ruhig als Zweitscanner weiterverwenden, da es keinen Hintergrundwächter hat, kommt es sich auch mit Norton nicht in die Quere.
Du solltest die Datei in der Tat löschen und danach ein neues Logfile mit HijackThis erstellen und posten. Vielleicht meldet sich Christian noch und sagt genauer, was für ein Schädling es war...bei Backdoors empfiehlt sich ja EIGENTLICH eine Neuinstallation. Mal schauen.

Hier die neue Auswertung:

Logfile of HijackThis v1.98.2
Scan saved at 15:49:52, on 31.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\IncrediMail\bin\IncMail.exe
D:\Programme\Opera7\Opera.exe
D:\Gabi\Viren usw\Hijack This\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C360E1-99BD-4026-9A34-0FF1D6D885B8}: NameServer = 217.237.151.97 217.237.150.33

Das komische darin ist, daß mir Hijack diese Datei nicht mehr anzeigt, aber diese tatsächlich noch auf meinem PC ist. Habe diese noch nicht runtergelöscht. Ich finde das sehr merkwürdig.

Ich hatte dir ja gesagt, dass du den Eintrag mit dieser Datei "fixen" solltest, falls du das gemacht hast, ist das schon in Ordnung so. Der Prozess wird dadurch nicht mehr gestartet und taucht in HJT deswegen nicht mehr auf, die Datei an sich ist aber noch vorhanden. Daher: löschen.

Oh sorry, zuerst nachdenken dann posten. Klar, habe ich ja schon gestern gemacht. Werde diese gleich runterlöschen und den e-Scan noch mal rüberlaufen lassen.

Grüße
Gabi

So, ich bins schon wieder.

Habe e-Scan noch mal rüberlaufen lassen. Es kommt jetzt nur noch:

Sun Oct 31 17:06:14 2004 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*

Zum eScan habe ich aber schon wieder mal eine Frage.

Er zeigt mir auch an, das ich :
Sun Oct 31 17:13:22 2004 => Total Errors: 349
auf dem PC habe. Muss ich diese Dateien löschen?



Dann habe ich nochmals ANtiVir rüberlaufen lassen. Entweder das war
am Freitag schon auf meinen PC und ich habe es übersehen oder es ist was neues:

Er hat mir 6 Warnungen ausgegeben.

Und diese sind sie:

C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Heißt das etwas böses?

Viele Grüße
Gabi

Nein, das ist nicht schlimm, bestimmte Dateien/Ordner sind von Windows zugriffsgeschützt, was zwar theoretisch auch Schädlinge ausnutzen können, deswegen wird das auch immer mit in den Logs aufgeführt.

Das
Sun Oct 31 17:06:14 2004 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*

kommt nur, weil dein Suchbegriff "infected" darin vorkommt, ist aber in dem Fall nur die Aufzählung der gescannten Ordner bzw. des Ordners von Antivir.

Die Erros-Dateien bei E-Scan NICHT löschen! Das kann dieselben Gründe haben wie oben schon angeführt, 349 kommt mir allerdings etwas viel vor, gibt es da eine bestimmte Art von Dateien, die besonders viel vorkommt? Oder ein bestimmter Ordner?

Hallo MountainKing,

erst mal vielen, vielen Dank für deine unendliche Mühe. Ich kann dir gar nicht sagen, wie dankbar ich dir dafür bin.

Die Errors Dateien sind alle hier drinnen:

Sun Oct 31 16:54:12 2004 => Scanning Folder: C:\WINDOWS\PCHealth\HelpCtr\System\errors\*.*
Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\badurl.htm
Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\connection.htm
Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\indexfirstlevel.htm
Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\notfound.htm
Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\offline.htm
Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\redirect.htm
Sun Oct 31 16:54:12 2004 => Scanning File C:\WINDOWS\PCHealth\HelpCtr\System\errors\unreachable.htm

So für heute schalte ich unseren PC ab, der hat mich vielleicht die letzten paar Tage Nerven gekostet.

Einen schönen Abend noch

viele Grüße
Gabi