Aber mit allen anderen scannern kommst du durch die Partition durch?

ja hab ja sonst nur noch sybot, das läuft durch

Weißt Du was,
du machst jetzt mal einen eScan im abgesicherten Modus und postest den Log von eScan hier rein.
Ach so, wenn escan fertig, dann :..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forumübertragen... (SD)
cacatoa

Zitat:

=> File F:\WINDOWS\system32\EGAUTH.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: No Action Taken.
File F:\WINDOWS\system32\p2esocks_1025.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: No Action Taken.

das kam bei raus als ich nach infected suchte

der log des programms zeigte aber fünf stück an:

Zitat:

FILE F:\WINDOWS\system32\altsvc.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.d. No Action Taken
FILE F:\WINDOWS\system32\EGAUTH.dll infected by"Trojan.Win32.P2E.al"Virus.Action Taken:No Action Taken
FILE F:\WINDOWS\system32\mattrib.exe tagged as not-a-virus:AdAware.Connector.No Action Taken
FILE F:\WINDOWS\system32\p2esocks_1025.dll infected by"Trojan.Win32.P2E.al"Virus.Action Taken:No Action Taken
FILE F:\WINDOWS\system32\service.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.d. No Action Taken

Ja, er zeigt fünf an, um dann zuzugeben, daß er nur drei (einen davon doppelt) gefunden hat.
Die löschst Du manuell im abgesicherten Modus bei deaktivierter Systemwiederherstellung.
Lade Dir vorher zur Sicherheit mal das runter; solltest Du nach dem löschen der Dateien nicht mehr ins Internet kommen, reparierst Du damit Deine winsocks.
cacatoa

ich trau mich bald nicht mehr zu posten, musss ja lästig sein

habs gemacht, hat gut geklappt aber das ad-aware problem bleibt bestehen.
er findet auch wieder zwei neue objekte, nur später hängt er sich dann wieder auf und bleibt bei busy stehen

soll ich vielleicht erst mal n neues update abwarten?

Du bist gar nicht lästig, sondern Du brauchst Hilfe.
Aber jetzt weiß ich ehrlich nicht weiter. Ich würde mal googeln, ob evtl. woanders auch so ein Problem besteht.
Gib aber bitte Bescheid.
Vielleicht liest auch ein anderer TB´ler das Thema und kann was dazu sagen.
Ich schau auch mal.
cacatoa

Hallo, poisi,
Christian hat uns geholfen:
Während des scans von AdAware deinen Virenwächter ausschalten. (Danach aber wieder an!).
Wenn das nichts hilft, dann das hier:
Grüße
cacatoa

@ christian:
Vielen Dank!

das mit dem virenwächter hat leider nicht funktioniert, blieb wieder hängen..
habs auch mal im abgesichertem modus probier, mit dem selbem ergeniss.

werd dann mal ein topic in dieses support forum stellen, danke

Hallo poisi,

erstelle und poste bitte nochmal ein neues Hijack This Logfile.

SD

Logfile of HijackThis v1.98.2
Scan saved at 10:35:12, on 03.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
C:\nero\nero\NEROTO~1\DRIVES~1.EXE
C:\Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
F:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Browser\mozilla\mozilla\mozilla.exe
C:\Programme\WinRar\WinRAR.exe
F:\DOKUME~1\Puschel\LOKALE~1\Temp\Rar$EX00.906\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.union-rave.com/frameset.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = f:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\acrobat reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Sicherheit\sybot\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\MULTIM~1\FLASHGET\FLASHGET\JCCATCH.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\MULTIM~1\FLASHGET\FLASHGET\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Nero DriveSpeed] C:\nero\nero\NEROTO~1\DRIVES~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Sicherheit\ZoneAlarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Sicherheit\sybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\MULTIM~1\FLASHGET\FLASHGET\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\MULTIM~1\FLASHGET\FLASHGET\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\MULTIM~1\FLASHGET\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\MULTIM~1\FLASHGET\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFF5C13F-5C25-4B8E-9793-C736EE54CA48}: NameServer = 217.237.151.225 217.237.150.225

Zitat:

C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

ist es das vielleicht?

wie lösche ich das, wieder im abescihertem modus?

Hi, poisi,
kannst durchaus recht haben.
Fixe dies im abgesicherten Modus:

C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

und lösche dann die Datei:

C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

manuell.
(Also wirklich beides machen, nicht nur löschen oder nur fixen).
Ansonsten ist Dein Log sauber!

Zitat:

manuell.
(Also wirklich beides machen, nicht nur löschen oder nur fixen).
Ansonsten ist Dein Log sauber!

wie kann ich das fixen, das wird mir ja nur im log unter "running process" angezeigt, die liste wo ich was fixen kann fängt ja erst bei R0 an?





und ich glaub ich hab gestern was dummes mit dem e-scan gemacht und zwar hab ich glaube ich das häkchen bei [ ]drive nicht gesetzt

habs gerade noch mal gemacht und da ist dies bei rumgekommen:

Zitat:

Tue Nov 02 19:27:47 2004 => File F:\WINDOWS\system32\EGAUTH.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: No Action Taken.
Tue Nov 02 19:28:44 2004 => File F:\WINDOWS\system32\p2esocks_1025.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: No Action Taken.
Tue Nov 02 19:41:16 2004 => File F:\WINDOWS\system32\EGAUTH.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: No Action Taken.
Tue Nov 02 19:41:33 2004 => File F:\WINDOWS\system32\p2esocks_1025.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: No Action Taken.
Tue Nov 02 19:44:01 2004 => File F:\WINDOWS\system32\EGAUTH.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: No Action Taken.
Tue Nov 02 19:44:19 2004 => File F:\WINDOWS\system32\p2esocks_1025.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: No Action Taken.
Wed Nov 03 11:03:09 2004 => File C:\Programme\AVPersonal\INFECTED\OPTIMIZE[1].EXE.VIR infected by "TrojanDownloader.Win32.Dyfuca.cy" Virus. Action Taken: No Action Taken.
Wed Nov 03 11:03:09 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR
Wed Nov 03 11:03:09 2004 => File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR infected by "TrojanDownloader.Win32.Dyfuca.cy" Virus. Action Taken: No Action Taken.
Wed Nov 03 11:03:09 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\A0080278.DLL.VIR
Wed Nov 03 11:03:09 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\A0080279.CMD.VIR
Wed Nov 03 11:48:03 2004 => File X:\Programme\Tools\All Sound Recorder\All Sound Recorder Xp v2.08 Winall Incl Keymaker-Embrace.zip infected by "TrojanDropper.Win32.ExeBundle.285" Virus. Action Taken: No Action Taken

versteh allerdings nicht warum da der dienstag noch mit auftaucht, eventuell falsch abgespeichert?

Erstens geb´ich dir recht.
Zweitens solltest Du nach dem eScan die angezeigten Dateien immer noch im abgesicherten Modus, bei deaktivierter Systemwiederherstellung, manuell löschen.
Das was Du drauf hast, ist gottseidank ohne Backdoorqualitäten und ich denke, du kannst es beseitigen.
Dann mußt Du noch die Quarantäne bei Deinem Antivir leeren, neu booten (nach dem Ausschalten ca. 30 sec. warten, bis Du wieder einschaltest), Systemwiederherstellung aktivieren.
Das sollte es gewesen sein.
cacatoa

Zitat:

C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

die datei bleibt jetzt noch über, fixen kann ich die nicht, bzw weiss nicht wie das geht!?

und ad-aware hängt sich noch immer auf, vielleicht liegt es ja daran?

soll ich die jetzt einfach im angesichertem modus löschen, oder eventuell mit TuneUpUtilitys?