also, hab jetzt schon den trojaner aus der registry gelöscht, dabei aber vergessern die systemwiederherstellung zu deaktivieren, worauf mir antivir gemeldet, hat dass er sich wieder reingeschrieben hat, nämlich unter

C:\WINDOWS\SYSTEM32\WIDSHOST.EXE

was kann ich machen um den trojaner dauerhaft zu löschen?? in der registry scheint jetzt der prozess auch nicht mehr auf, und ich weiß nicht mehr weiter!
und die systemwiederherstellung dauerhaft zu deaktivieren kann ja auch keine lösung sein!

vielleicht hatte ja jemand von euch schon mal ein ähnliches problem und kann mir weiterhelfen??

rainbowgirl

@ rainbowgirl

Zitat:

Zitat von rainbowgirl

antivir gemeldet: C:\WINDOWS\SYSTEM32\WIDSHOST.EXE

SOPHOS Virusinformation: Troj/Bagledl-C--> "Erläuterung" und "Erweitert" beachten. Virus-Info Panda Software: W32/Mitglieder.AY.worm.

Lade das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

der escan funktioniert nicht, das programm hängt sich nach 10s immer auf!!


hab den tr\bagle.al aus der registry gelöscht! worauf sich einen tag später TR/Dldr.Small.ZJ.1! dazugesellt hat! befanden sich in ordner

C:\WINDOWS\SYSTEM32\WIDSHOST.EXE bzw.
C:\WINDOWS\SYSTEM32\WINSHOST.EXE


bin nicht sicher ob alles entfernt ist, man freut sich ja meistens zu früh, v.a. weil es ja nicht das erste mal wäre!!

hier das

Logfile of HijackThis v1.98.2
Scan saved at 20:18:05, on 08.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\DOKUME~1\Regina\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://derstandard.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab

vielen dank!!
rainbowgirl

Das Log schaut sauber aus.