guten tag trojaner fachleute,

hab seit ende oktober eine meldung von antivir TR/Dldr.Alchemic und bekomme es nicht weg. auf euer seite hab ich eScan download gemacht und hab nun folgende englische meldungen die mir wenig sagen, könnt ihr mir bitte helfen wie ich nun weiter vorgehen kann/muss um den rechner wieder clean zu haben. dank im voraus für eure hilfe.

system w xp mit sp2
anti vir (immer aktuell internetupdate)
escan 4.6.2 heute download 5.11.04

ich weiss nicht was ihr sonst noch für daten braucht lasst es mich wissen.

eScan von heute

File C:\Programme\MySearch\bar\1.bin\S4BAR.DLL tagged as not-a-virus:AdWare.Toolbar.MyWay.f. No Action Taken.

File C:\Programme\SuperBar\sbhc.exe tagged as not-a-virus:AdWare.Toolbar.GigatechSuperBar. No Action Taken.

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File C:\WINDOWS\System32\adllpnt32.dll tagged as not-a-virus:AdWare.Connector. No Action Taken.

File C:\Programme\MySearch\bar\1.bin\S4BAR.DLL tagged as not-a-virus:AdWare.Toolbar.MyWay.f. No Action Taken.

File C:\WINDOWS\System32\adllpnt32.dll tagged as not-a-virus:AdWare.Connector. No Action Taken.

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File C:\Programme\SuperBar\sbhc.exe tagged as not-a-virus:AdWare.Toolbar.GigatechSuperBar. No Action Taken.

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File C:\WINDOWS\MSView.DLL tagged as not-a-virus:AdWare.BiSpy.m. No Action Taken.

File C:\WINDOWS\nachrichten.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

File C:\WINDOWS\system32\adllpnt32.dll tagged as not-a-virus:AdWare.Connector. No Action Taken.

ich bin es selbst nochmal (sorry bin nicht so erfahren bisher war der rechner sauber)

diese angaben kamen im oberen feld bei eScan

Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\system32\ZoneLabs\vsvault.dll
Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\twain_32\CIS600X\s6e10_nt.dll
Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\twain_32\CIS600X\WATCH.exe
Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\WINIO.dll
Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\gdiplus.dll

Fri Nov 05 16:51:23 2004 => ***** Scanning Registry Files *****
Fri Nov 05 16:51:23 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Fri Nov 05 16:51:23 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Fri Nov 05 16:51:23 2004 => ERROR!!! Invalid Entry = C:\WINDOWS\twaintec.dll. Removing it.
Fri Nov 05 16:51:24 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Fri Nov 05 16:51:24 2004 => Scanning HKCU\Control Panel\Desktop
Fri Nov 05 16:51:24 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Fri Nov 05 16:51:25 2004 => ERROR!!! Invalid Entry AKXHVDNXA = C:\WINDOWS\AKXHVDNXA.exe. Removing it.
Fri Nov 05 16:51:25 2004 => ERROR!!! Invalid Entry susp = C:\WINDOWS\susp.exe. Removing it.
Fri Nov 05 16:51:25 2004 => ERROR!!! Invalid Entry alchem = C:\WINDOWS\alchem.exe. Removing it.
Fri Nov 05 16:51:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Fri Nov 05 16:51:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Fri Nov 05 16:51:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Fri Nov 05 16:51:25 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Fri Nov 05 16:51:25 2004 => ERROR!!! Invalid Entry AOLMIcon = C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe. Removing it.
Fri Nov 05 16:51:25 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Fri Nov 05 16:51:25 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Fri Nov 05 16:51:25 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Fri Nov 05 16:51:25 2004 => Scanning HKCR\txtfile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\comfile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\exefile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\dllfile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\batfile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\piffile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\scrfile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\scrfile\shell\config\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\regfile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\htmlfile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\htafile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\jsfile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\jsefile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\vbsfile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\vbefile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\wshfile\shell\open\command
Fri Nov 05 16:51:25 2004 => Scanning HKCR\wsffile\shell\open\command

Fri Nov 05 16:51:25 2004 => ***** Scanning StartUp Folders *****

Fri Nov 05 16:51:25 2004 => ***** Scanning C:\Dokumente und Einstellungen\Hubi\Startmenü\Programme\Autostart Folder *****
Fri Nov 05 16:51:25 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Hubi\Startmenü\Programme\Autostart\*.*

Fri Nov 05 16:51:25 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder *****
Fri Nov 05 16:51:25 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.*

Fri Nov 05 16:51:25 2004 => ***** Scanning Service Files *****
Fri Nov 05 16:51:25 2004 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Fri Nov 05 16:51:32 2004 => ERROR!!! Invalid Entry System32\DRIVERS\wanatw4.sys in SYSTEM\CurrentControlSet\Services\wanatw...

Fri Nov 05 16:51:33 2004 => ***** Scanning System32 Folders *****
Fri Nov 05 16:51:33 2004 => Scanning C:\WINDOWS Directory
Fri Nov 05 16:51:33 2004 => Scanning Folder: C:\WINDOWS\*.*
Fri Nov 05 16:51:40 2004 => Scanning C:\WINDOWS\system32 Directory
Fri Nov 05 16:51:40 2004 => Scanning Folder: C:\WINDOWS\system32\*.*

Fri Nov 05 16:53:07 2004 => ***** Checking for specific ITW Viruses *****
Fri Nov 05 16:53:07 2004 => Checking for Welchia Virus...
Fri Nov 05 16:53:07 2004 => Checking for LovGate Virus...
Fri Nov 05 16:53:07 2004 => Checking for CodeRed Virus...
Fri Nov 05 16:53:07 2004 => Checking for OpaServ Virus...
Fri Nov 05 16:53:07 2004 => Checking for Sobig.e Virus...
Fri Nov 05 16:53:07 2004 => Checking for Winupie Virus...
Fri Nov 05 16:53:07 2004 => Checking for Swen Virus...
Fri Nov 05 16:53:07 2004 => Checking for JS.Fortnight Virus...
Fri Nov 05 16:53:07 2004 => Checking for Novarg Virus...
Fri Nov 05 16:53:07 2004 => Checking for Pagabot Virus...
Fri Nov 05 16:53:07 2004 => Checking for Parite.b Virus...
Fri Nov 05 16:53:07 2004 => Checking for Parite.a Virus...

Fri Nov 05 16:53:07 2004 => ***** Scanning complete. *****
Fri Nov 05 16:53:07 2004 => Total Files Scanned: 2964
Fri Nov 05 16:53:07 2004 => Total Virus(es) Found: 12
Fri Nov 05 16:53:07 2004 => Total Disinfected Files: 0
Fri Nov 05 16:53:07 2004 => Total Files Renamed: 0
Fri Nov 05 16:53:07 2004 => Total Deleted Files: 0
Fri Nov 05 16:53:07 2004 => Total Errors: 6
Fri Nov 05 16:53:07 2004 => Time Elapsed: 00:02:14
Fri Nov 05 16:53:07 2004 => Virus Database Date: 2004/11/03
Fri Nov 05 16:53:07 2004 => Virus Database Count: 108135

Fri Nov 05 16:53:07 2004 => Scan Completed.

@buxus
poste doch mal ein logfile mit Hijackthis
www.hijackthis.de

chaosman

hallo chaosmann, danke das du dich des problems annimmst.

ich bekomme folgendes fenster wenn ich HijackThis mit scan ausgeführt hab, wie kann ich dir jetzt daraus log files geben??

meinst du etwa dieses

Logfile of HijackThis v1.98.2
Scan saved at 17:53:51, on 05.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\SuperBar\sbhc.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Palm\HOTSYNC.EXE
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Hubi\LOKALE~1\Temp\Rar$EX17.094\HijackThis.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe

Hi,
lade dir mal Ad-Aware SE herunter und laß es laufen.
Berichte dann neu; Dein Log von HJT ist soweit o.k.
cacatoa

hallo cacatoa,

die quarantäne hat folgenden eintrag

reicht das denn die log datei ist ja sonst super gross

ArchiveData(auto-quarantine- 2004-11-05 19-00-25.bckp)
Referencefile : SE1R17 05.11.2004
======================================================

IPINSIGHT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Process : C:\WINDOWS\System32\ipinsigt.dll
obj[1]=Process : C:\WINDOWS\System32\ipinsigt.dll
obj[2]=Regkey : clsid\{000004cc-e4ff-4f2c-bc30-dbef0b983bc9}
obj[3]=RegValue : clsid\{000004cc-e4ff-4f2c-bc30-dbef0b983bc9} ""
obj[4]=Regkey : interface\{297afc77-2039-4d3c-bef9-598819eb2c8a}
obj[5]=RegValue : interface\{297afc77-2039-4d3c-bef9-598819eb2c8a} ""
obj[6]=Regkey : ipinsigt.ipinsigtobj.1
obj[7]=RegValue : ipinsigt.ipinsigtobj.1 ""
obj[8]=Regkey : typelib\{be35582c-9796-4cf1-aed9-556ada120b38}
obj[9]=Regkey : software\ipinsight
obj[10]=RegValue : software\ipinsight "IdOfInst"
obj[11]=RegValue : software\ipinsight "IdOfDist"
obj[12]=RegValue : software\ipinsight "InProgCab"
obj[13]=RegValue : software\ipinsight "InProgEx"
obj[14]=RegValue : software\ipinsight "InProgLstest"
obj[15]=RegValue : software\ipinsight "CntrMsgDisp"
obj[16]=RegValue : software\ipinsight "CntrEvnt"
obj[17]=RegValue : software\ipinsight "CntrTransac"
obj[18]=RegValue : software\ipinsight "LastSChckin"
obj[19]=RegValue : software\ipinsight "ThrshBath"
obj[20]=RegValue : software\ipinsight "ThrshSysInf"
obj[21]=RegValue : software\ipinsight "ThrshSCheckIn"
obj[22]=RegValue : software\ipinsight "sticky1"
obj[23]=RegValue : software\ipinsight "sticky2"
obj[24]=RegValue : software\ipinsight "NationCode"
obj[25]=RegValue : software\ipinsight "DstSEnd"
obj[26]=RegValue : software\ipinsight "DstCHost"
obj[27]=RegValue : software\ipinsight "DstCPath"
obj[28]=RegValue : software\ipinsight "StatusOfInst"
obj[29]=Regkey : software\microsoft\windows\currentversion\explorer\browser helper objects\{000004cc-e4ff-4f2c-bc30-dbef0b983bc9}
obj[30]=Regkey : software\microsoft\windows\currentversion\uninstall\ipinsight
obj[31]=RegValue : software\microsoft\windows\currentversion\uninstall\ipinsight "DisplayName"
obj[32]=RegValue : software\microsoft\windows\currentversion\uninstall\ipinsight "UninstallString"
obj[33]=RegValue : Software\Microsoft\Windows\CurrentVersion\SharedDLLs "C:\WINDOWS\System32\ipinsigt.dll"
obj[34]=File : C:\WINDOWS\IPINSIGT.DLL
obj[35]=File : C:\WINDOWS\system32\ipinsigt.dll

hallo cacatoa,

riesen dank erst mal an dich mein pc scheint wieder rein zu sein, ich hatte schon angst beim lesen in anderen beiträgen von neu aufstzen oder sowas.

danke mein antivir zeigt durchlauf ohne meldung. hast du bitte noch einen tipp was ich besser machen kann, natürlich fliegt kaaza und icq von meinem sohn runter denn die sind doch sicherlich mit verursacher. kann ich die beiden programme HijackThis und aw se einrichten das sie den pc besser als antivir und alarmzone bewachen? wäre schön wenn du noch was an tipps für mich hättest.

gruss hubert

Hi, buxus,
1. macht nix!
2. Guckst Du hier
und hier und etws hier im Forum...
HiJackThis ist kein Virenscanner oder Wächter. Es erkennt nur Prozesse und ordnet sie zu, ist somit eine große Hilfe bei der Suche, aber verhindert nichts.
AdAware SE in der free-version hat keinen Virenwächter. Natürlich drauflassen, updaten und immer wieder scannen lassen.
Du brauchst einen guten Virenscanner mit Wächter (Tipps und Info hier im Forum) und ich würde noch folgendes auf den Rechner packen:
Spybot S&D
CWShredder und Spywareblaster
Damit hast Du für´s Erste genug zu tun!
Grüße
cacatoa