Hallo,

habe gerade ein kompletten Scan im abgesicherten Modus durchgeführt, nachdem ich die erweiterte Signaturen runtergeladen.
Es wurden einige Viren gefunden und gelöscht.

Aber es hat sich trotzdem nichts gändert.

Hier mein aktueller LOG:

Logfile of HijackThis v1.98.2
Scan saved at 12:54:50, on 19.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe
C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\flcss.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\YA\Desktop\anti_trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter 2.0\\RegistryController.exe"
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0\IEShellExt.dll /500
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095838883125
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3502B3A-F97A-4423-BDA9-5267079EE830}: NameServer = 192.168.0.1

Also soweit findet Kaspersky nichts mehr, daraufhin habe ich mal Spybot suchen lassen und er findet ein

OpaServ: Worm
c:/WINDOWS/scrscr.exe

Natürlich hab ich den sofort entfernen lassen, aber Spybot findet den immer wieder aufs Neue.

Habe daraufhin von Symantec den OpaServ Wormcleaner runtergeladen und suchen lassen, der hat nichts gefunden. So ein mist! Hab alles nach Anleitung gemacht, Systemwiederherstellung deaktiviert usw.

Gibt es für den Wurm vielleicht ein anderes Tool oder ein Cleaner, oder kann es sein dass es ein anderer Wurm ist?

Kann mir da jemand genaueres sagen?

Zitat:

Zitat von Yaap

Also soweit findet Kaspersky nichts mehr, daraufhin habe ich mal Spybot suchen lassen und er findet ein

OpaServ: Worm
c:/WINDOWS/scrscr.exe

Natürlich hab ich den sofort entfernen lassen, aber Spybot findet den immer wieder aufs Neue.

Komisch, den sollte Kaspersky eigentlich erkennen. Allerdings heißt die Datei in der Beschreibung http://securityresponse.symantec.com...serv.worm.html anders, nämlich "Scrsvr.exe". Kannst Du die dort angegebenen Symptome auf Deinem System nachvollziehen? Hast Du die Datei mal online gescannt?
http://virusscan.jotti.org/de

Gruß
Yopie

Die Symptome sprechen sehr stark für den Virus.

Ich habe auch versucht die Datei unter http://virusscan.jotti.org/de online zu scannen, aber mir wird dann das hier ausgegeben:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Ich habe es mal mit einer anderen Datei probiert, das klappt. Vielleicht ist die im Gebrauch? Muss ich die Vielleicht im abgesicherten Modus mal online scannen. hmm, ich mach das mal.

Ich weiss jetzt wirklich nicht mehr weiter!

Also wenn ich die Datei c:\windows\scrsvr.exe online scanne, bekomme ich diese Fehlermeldung:

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

Wenn ich mir die Eigenschaften dieser Datei anschaue, wird angegeben, das sie 0 byte groß ist.

Unter C:\windows ist noch eine Verknüpfung die den selben namen trägt, diese ist 2,78 kb gross und verweist auf die c:\windows\scrsvr.exe Datei.

Die Verknüpfung kann ich online scannen und ich erhalte, das kein virus gefunden wurde.


Übrigens ich hab mal die DAtei scrsvr.exe gelöscht. Beim Neustart war sie wieder da.


Die ganzen Aktion hab ich unterm abgesicherten Modus gemacht.

@ Yaap

hier findest Du einen Cleaner gegen Win32.Worm.Opaserv.

Wenn Du unter WindowsXP Dateien und Einträge löschen willst, muss Du dies nicht nur im abgesicherten Modus, sondern auch bei deaktivierter Systemwiederherstellung tun, da sonst die gelöschten Dateien bei einem Neustart des Systems wieder hergestellt werden. Nach dem löschen wieder in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

SD