Hallo zusammen,

mein Antivir hat beim heutigen Test ein trojanisches Pferd mit dem Namen TR/Click.Verzil.A.3 gefunden... Google findet zu diesem Namen rein gar nichts und hier auf der Seite habe ich mit der "Suchen"-Funktion auch nix gefunden... Soll ich die Datei (die sich übrigens im Verzeichnis "C:/Dokumente und Einstellungen/Mein Name/.../Content befindet, welches ich aber nirgends finden kann, wenn ich in "Dokumente und Einstellungen" suche") mit AntiVir löschen? Oder soll ich so vorgehen, wie es auf trojaner-info.de beschrieben ist? Hier nochmal all meine Fragen im Einzelnen:

1. Weiß jemand was das für ein Ding ist?
2. Warum findet google da nichts zu?
3. Wieso heißt die Datei so seltsam ("F482C95F83F1B59228F1B1E720F2EDF1")?
4. Wieso kann ich das Verzeichnis nirgends auf meiner Platte finden?
5. Kann ich das Problem noch beheben ohne Formatieren zu müssen?
6. Odre ist Formatieren in so einem Fall immer das beste?

Werde jetzt mal Registry, etc. durchsuchen und mich dann wieder hier melden.

Danke im Voraus und Gruß,
Hanni

Hallo Hannibal125,

Deine Fragen können wir erst beantworten, wenn wir wissen, um was es genau geht. Die Viren werden von jedem Virenhersteller mit verschiedenen Alias-Namen versehen.

Erstelle bitte zunächst ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

SD

So hier also dann zuerst mal das Log-File:

Logfile of HijackThis v1.98.2
Scan saved at 17:40:16, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\AV Personal\AVWUPSRV.EXE
C:\AV Personal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Excel und Powerpoint 97\Office\OSA.EXE
C:\Eumex 504PC SE\Capictrl.exe
C:\AV Personal\AVGUARD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Timdates\Virenjagd\Hijack-This Extract\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\AV Personal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Office-Start.lnk = C:\Excel und Powerpoint 97\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092955981484

Braucht ihr noch was? Laufende Prozesse zum Beispiel? Aber ich glaube die sind ja in dem Logfile zu sehen, oder?

Noch was am Rande: mit diesem "Clear Prog" habe ich angeblich 914 MB gelöscht, kann das sein? Allerdings konnte ich später auf meiner Festplatte nicht mehr freie Speicherkapazität feststellen als vorher auch...

Hoffe ihr könnt mir helfen...

Gruß,
Hanni

PS: Ad Aware hat nix gefunden... Lasse jetzt mal noch Spybot drüber laufen

@ Hannibal125

Zitat:

Noch was am Rande: mit diesem "Clear Prog" habe ich angeblich 914 MB gelöscht, kann das sein?

--> wenn Du diese Ordner noch nie geleert hast, kann das durchaus sein. Möglicherweise macht es sich erst bei einem Neustart des Computers bemerkbar.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Überprüfe Deinen Rechner noch sicherheitshalber mit dem eScan - laut Anweisung, bitte gut durchlesen. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

So bin gerade dabei eScan zu saugen. Wollte die Zwischenzeit nutzen (hab nur isdn) dir erstmal für deine schnellen, guten und sehr übersichtlichen Antworten zu danken!

Aber: was willst du mir hiermit sagen:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

???

Konntest du mit dem Hijackthis-Log nix anfangen?
was meinst du in Bezug auf Formatieren? Wirds ohne gehen?

Gruß,
Hanni

Hallo, hallo:

hab gerade nochmal im Verzeichnis "Dokumente und Einstellungen" gesucht und AntiVir hat jetzt nix mehr gefunden... Ohne dass ich irgendwas anderes gemacht habe.. Wahrscheinlich hat das Clear Prog das Ding gekillt!?
Der Ordner "Content" deutete ja wohl auf Temporary Internet Files des IE, oder? Also wird es doch wahrscheinlich sein, dass es durch Clear Prog gelöscht wurde...

Sollte man denn noch was anderes machen?

Gruß,
Hanni

@ Hannibal125

Zitat:

Zitat von Hannibal125

Aber: was willst du mir hiermit sagen:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

???

Um ein Hijack This Logfile zu erstellen, hast Du Dir das Programm Hijack This runtergeladen. Mit diesem Programm kannst Du - so wie ich's oben beschrieben habe, Einträge fixen (entfernen). Mach das bitte - sowie oben beschrieben.

Zitat:

Zitat von Hannibal125

was meinst du in Bezug auf Formatieren? Wirds ohne gehen?

Das weiss ich/ wissen wir, wenn wir wissen, WELCHE Viren Du auf Deinem System hast. Und das wiederum erfahren wir, wenn Du den eScan - laut der Anleitung - auf Deinem System im abgesicherten Modus, offline durchgeführt hast.

SD

Mensch warum formatieren, ist doch nichts drauf, lösche die zwei Einträge wie SD beschrieben, escan und gut ist!
LG, Charlie

Nachtrag; SD war schneller

@ Hannibal125,

mit dem ClearProg hast Du u.a. den Inhalt der Temporary Internet Files als auch den Inhalt des Ordners Content IE gelöscht. Wenn Du sicher sein willst, dass Du weiter keine Viren auf Deinem System hast, solltest Du Dich an unsere (meine) Anweisung halten, die Einträge in Deinem Hijack This Logfile fixen (entfernen) und den eScan auf Deinem System durchführen.

SD

Ok,

bin gerade dabei eScan zu aktualisieren. Das Hijack-Log hab ich nu gefixt. Was ich an deinem letzten Post nicht verstanden hatte, war dass diese Namen die du hingeschrieben hattest Positionen im Log waren. Aber nu isses klar. Sobald ich gleicheScan hab drüber laufen lassen meld ich mich wieder.

Gruß,
Hanni

Sooooooo,
habe jetzt also noch eScan drüber laufen lassen und der hat nix gefunden... Außer diesen beiden Einträgen:

Thu Nov 18 19:44:35 2004 => Scanning Folder: C:\AV Personal\INFECTED\*.*

Thu Nov 18 20:13:31 2004 => Total Disinfected Files: 0


Aber hier weiß sogar ich als Laie, dass das nix schlimmes ist! damit sollte meine Kiste eigentlich wieder rein sein, oder?

Hanni

Die Antivir-Meldung ist vermutlich ein Fehlalarm:
http://www.free-av.de/cgi-bin/ubb/ul...&f=12&t=004733

Gruß
Yopie

Jooooooo: THX@all

dann scheint das ja geregelt zu sein...

Danke besonders an SD, der sich wirklich immens ins Zeug gelegt hat und wirklich hilfreiche und übersichtliche Beiträge schreibt!!! Danke!

Und natürlich auch an alle anderen!

Gruß,
Hanni

Zitat:

Zitat von Hannibal125

Danke besonders an SD, der sich wirklich immens ins Zeug gelegt hat und wirklich hilfreiche und übersichtliche Beiträge schreibt!!!

Und das, obwohl SD eine Dame ist....

SCNR

Gruß
Yopie