Logfile of HijackThis v1.98.2
Scan saved at 16:25:08, on 15.11.2004
Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
D:\AntiVir\AVGNT.EXE
D:\Cfos-Speed 1.06\cFosSpeed.exe
D:\NetCaptor\NetCaptor.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Totalcmd\TOTALCMD.EXE
D:\Hijackthis\HijackThis.exe

@ Loony2n,

ist das alles? Poste bitte das gesamte Hijack This Logfile. Und eröffne bitte keinen weiteren Thread.

SD

Hallo und danke für die schnelle antwort.

also das ist alles was bei dem scan rausgekommen ist, hab das ganze logfile kopiert!!! Was meinst Du mit keinen neuen Thread eröffnen!? Sorry aber bin nicht ganz so der computerhai !

Das ist mit Sicherheit nicht dein vollständiges Log-File.
Probiers noch einmal:
Öffne nochmal das hijackthis.log -> Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (hier in den Thread einfügen)

Oh Ihr hattet recht das war irgendwie doch nicht alles der log-file!!!
Ich hoffe dies hier ist nun etwas aussagekräftig was bei mir so los ist.!!???

mfg_loony


Logfile of HijackThis v1.98.2
Scan saved at 16:25:08, on 15.11.2004
Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
D:\AntiVir\AVGNT.EXE
D:\Cfos-Speed 1.06\cFosSpeed.exe
D:\NetCaptor\NetCaptor.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Totalcmd\TOTALCMD.EXE
D:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xguycfcvjxu.uk/sFRzQxXGRG...YbWqwc3m7.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {CEBC34CF-A9D2-3DAF-DC02-E3C1E7808B71} - C:\DOKUME~1\Peter\ANWEND~1\ISOSAF~1\Global Bolt.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [cFosSpeed] D:\Cfos-Speed 1.06\cFosSpeed.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [Skip Blah] C:\DOKUME~1\Peter\ANWEND~1\GREATH~1\HelpLocks.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{68678461-6DE9-4A2A-AEE3-DF1206F8C437}: NameServer = 217.237.149.225 217.237.151.97

Hallo Loony2n,

bitte überprüfe mit virusscan.jotti.dhs.org:

D:\NetCaptor\NetCaptor.exe
C:\DOKUME~1\Peter\ANWEND~1\ISOSAF~1\Global Bolt.exe

teile uns das Ergebnis der Überprüfung mit

Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O4 - HKCU\..\Run: [Spyware Doctor] "D:\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [Skip Blah] C:\DOKUME~1\Peter\ANWEND~1\GREATH~1\HelpLocks.exe

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.xguycfcvjxu.uk/sFRzQxXGR...KYbWqwc3m7.html

boote in den normalen Modus.

beende:

spydoctor.exe"
HelpLocks.exe

lösche:

D:\Spyware Doctor\spydoctor.exe
C:\DOKUME~1\Peter\ANWEND~1\GREATH~1\HelpLocks.exe

Aktiviere die Systemwiederherstellung.

Um herauszufinden, ob sich auf Deinem Rechner Malware befindet, kannst Du ihn folgendermaßen überprüfen:

lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.


Teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

SD

So habe gerade mit http://virusscan.jotti.org/de gescannt und der netcapter ist nicht infiziert aber bei der global bold.exe meint er das sie mit dem swizzor infiziert ist. Was mache ich denn da mit der global bold.exe ?? Werde jetzt erstmal die anderen sachen aus deiner antwort versuchen zu realisieren. :-)

Hallo Loony2n,

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

Deaktiviere die Systemwiederherstellung,
und beende:

Global Bolt.exe

lösche:

C:\DOKUME~1\Peter\ANWEND~1\ISOSAF~1\Global Bolt.exe

Aktiviere die Systemwiederherstellung.

SD

Hallo hallo,

aslo das bisherige hat geklappt (danke erstmal dafür) und nach dem escan isd das rausgekommen:



Sat Nov 20 15:08:40 2004 => ***** Scanning complete. *****

Sat Nov 20 15:08:40 2004 => Total Files Scanned: 55997
Sat Nov 20 15:08:40 2004 => Total Virus(es) Found: 35
Sat Nov 20 15:08:40 2004 => Total Disinfected Files: 0
Sat Nov 20 15:08:40 2004 => Total Files Renamed: 0
Sat Nov 20 15:08:40 2004 => Total Deleted Files: 0
Sat Nov 20 15:08:40 2004 => Total Errors: 500
Sat Nov 20 15:08:41 2004 => Time Elapsed: 00:54:31
Sat Nov 20 15:08:41 2004 => Virus Database Date: 2004/11/20
Sat Nov 20 15:08:41 2004 => Virus Database Count: 110107

Sat Nov 20 15:08:41 2004 => Scan Completed.




Von den 35 gefunden Viren sind nur 5 Datein wirklich infiziert und beim rest steht immer "not a virus" da und es sind auch alles dateien die ich kenne.
Aber die 5 sind infiziert mit:

1 mal: Trojan.Win32.Krepper.ab
1 mal: TrojanDownloader.Win32.Keenval
und wie sollte es auch anders sein
3 mal: TrojanDownloader.Win32.Swizzor.bz

Was haben die 500 total Errors eigentlich zu bedeuten.!?

@ Loony2n,

Zitat:

Sat Nov 20 15:08:40 2004 => Total Virus(es) Found: 35

alle Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Die 500 Error-Meldungen haben nichts zu bedeuten.

Scanne Deinen Rechner bitte auch mit den Entfernungstools von Spyware und Adware: Ad-Aware 6 Personal und Spybot-Search & Destroy 1.3.

SD

So jetzt ist erstmal alles in ordnung auf`m rechner, Nochmals DANKE für die schnelle hilfe!!!!!!!!!!!!!!!!!!!!!!!!!!! bis zum nächsten mal :-)

mfg_ronny