Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Help! (https://www.trojaner-board.de/11770-help.html)

Patsy 07.01.2005 12:02
Help!
 
Habe seit ein einigen Tagen ein totales Problem. Es öfnen sich ständig dutzende von Webseiten (alle gleich) hintereinander und in den Favoriten kommen neue Files und Links zustande. Auserdem machen sich inzwischen einige Funktion der Keys auf meiner Tastatur selbstständig.

Habe in den letzten Tagen Updates gemacht und mit AntiVir, Adware 6.0, CWShreder 1591, SpyBot Search + Destroy und HijacThis 1.99.0 alles gescaned (mehrere Funde) und gelöscht. Problem besteht weiter.

SpyBot search+destroy findet aber immer wieder folgende Dateien:

HKEY_USERS\S-1-5-18\Software\Microsoft\CurrentVersion\Internet Settings\Zones\0\100!=W=3

HKEY_USERS\S-1-5-21-48506347-224621903-1653462319-1007\Software\Microsoft\CurrentVersion\Internet Settings\Zones\0\100!=W=3

HKEY_USERS\S-1-5-20\Software\Microsoft\CurrentVersion\Internet Settings\Zones\0\100!=W=3

HKEY_USERS\S-1-5-19\Software\Microsoft\CurrentVersion\Internet Settings\Zones\0\100!=W=3

Hier ist auch der letzte Log von HijacThis den ich heute gemacht habe.

Logfile of HijackThis v1.99.0
Scan saved at 11:33:58, on 07.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cba\xfr.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\NavNT\vptray.exe
C:\WINDOWS\tppaldr.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ivectx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [zgvnkcn] "C:\WINDOWS\System32\zgvnkcn.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [F11104FE] C:\WINDOWS\system32\ivectx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [F11104FE] C:\WINDOWS\system32\ivectx.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: http://*.69sexsearch.com
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105027400458
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://www.nick.com/common/groove/gx/GrooveAX25.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2802074F-B09A-4E67-B914-FF59C0B862B1}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Intel File Transfer - Intel Corporation - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel Corporation - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Client - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Bin total am verzweifeln. Kann jemand bitte helfen.

Habe mir auch schon einmal einige andere probleme im Archiv angesehen. Binn leider ein kompleter Leihe und verstehe nicht immer dass komplette jargon.

Danke.

MountainKing 07.01.2005 12:28
Zunächst mal musst du dringend dein System updaten >>> www.windowsupdate.com besuchen und das so lange, bis keine empfohlenen Updates mehr angezeigt werden. Am besten Service Pack 2 installieren.

E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm


Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

O4 - HKLM\..\Run: [zgvnkcn] "C:\WINDOWS\System32\zgvnkcn.exe"
O4 - HKLM\..\Run: [F11104FE] C:\WINDOWS\system32\ivectx.exe
O4 - HKCU\..\Run: [F11104FE] C:\WINDOWS\system32\ivectx.exe
O15 - Trusted Zone: http://*.69sexsearch.com


Lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge (im Log nach "infected" suchen).

Umstieg auf alternative Browser wie opera oder firefox wäre zu empfehlen. Weitere Tips:

http://www.mathematik.uni-marburg.de...ompromise.html
http://www.forum-3dcenter.org/vbulle...d.php?t=163074

Patsy 07.01.2005 18:43
Hat alles leider etwas gedauert aber ich glaube dass ich alles richtig gemacht habe. Hier ersteinmal die Liste der Schädlinge die E-Scan gefunden hat (im abgesicherten Modus):

File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\hooks.dll infected by "Trojan.Win32.Hooker" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ivectx.exe infected by "Trojan.Win32.Agent.x" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\treaold.dll infected by "Trojan-Downloader.Win32.Small.rn" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\waluL_Sorpo.dll infected by "Trojan.Win32.StartPage.sc" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\nafi.exe infected by "Trojan.Win32.Hooker" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\__unin__.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\TEMPOR~1\Content.IE5\CXAR0LAZ\on-line[1].exe infected by "Trojan-Downloader.Win32.Agent.ew" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\TEMPOR~1\Content.IE5\CXAR0LAZ\online[1].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\TEMPOR~1\Content.IE5\CXAR0LAZ\online[2].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\TEMPOR~1\Content.IE5\CXAR0LAZ\online[3].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\TEMPOR~1\Content.IE5\WLY3ODM3\masta[1].chm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\TEMPOR~1\Content.IE5\WLY3ODM3\masta[2].chm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\WINDOW~1\LOKALE~1\TEMPOR~1\Content.IE5\WLY3ODM3\masta[3].chm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\041C0000.VBN infected by "Trojan.JS.Seeker.ac" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\06200000.VBN infected by "Win32.FunLove.4070" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\06240000.VBN infected by "Win32.FunLove.4070" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\06240001.VBN infected by "Win32.FunLove.4070" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temp\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temp\nafi.exe infected by "Trojan.Win32.Hooker" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temp\__unin__.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXAR0LAZ\on-line[1].exe infected by "Trojan-Downloader.Win32.Agent.ew" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXAR0LAZ\online[1].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXAR0LAZ\online[2].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXAR0LAZ\online[3].chm infected by "Trojan-Downloader.JS.Small.v" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLY3ODM3\masta[1].chm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLY3ODM3\masta[2].chm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLY3ODM3\masta[3].chm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\Programme\Windows Media Player\wmplayer.exe.tmp infected by "TrojanDownloader.Win32.Agent.bi" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-48506347-224621903-1653462319-1007\Dc159.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\hooks.dll infected by "Trojan.Win32.Hooker" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\ivectx.exe infected by "Trojan.Win32.Agent.x" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\treaold.dll infected by "Trojan-Downloader.Win32.Small.rn" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\waluL_Sorpo.dll infected by "Trojan.Win32.StartPage.sc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Altnet\adm4.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Altnet\dmfiles.cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Altnet\pmfiles.cab infected by "not-a-virus:AdWare.BrilliantDigital.1007" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Temp\Altnet\Setup.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.

Ich vermute dass ich viele der Schädlinge aus der E-Scan Suche löschen muss. Leider hat die Version von E-Scan die ich habe keine automatische Löschfunktion (muss man kaufen). Wie kann ich die betrofenen Dateien am schnellsten finden und löschen?

Der Log von HijacThis kommt in der nächsten Nachricht (zusammen zu gross für einen Beitrg)

Patsy 07.01.2005 18:45
Und hier auch der Log von HijacThis mach der Systemwiederherstellung:

Logfile of HijackThis v1.99.0
Scan saved at 18:22:24, on 07.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\NavNT\vptray.exe
C:\WINDOWS\tppaldr.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [] C:\WINDOWS\Options\OEMReset.exe /Audit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105027400458
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://www.nick.com/common/groove/gx/GrooveAX25.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Intel File Transfer - Intel Corporation - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel Corporation - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Client - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Chris14 07.01.2005 18:48
ahja. um eine hälfte der viren zu löschen brauchst du das programm clearprog das programm runterladen, installieren. in den abgesicherten modus wechseln. das programm ausführen,"alles löschen" selektieren und schließlich auf löschen klicken. und schon ist die hälfte der viren weg. die andere hälfte musst du wohl manuell löschen.
um die dateien zu sehen, extras/ordneroptionen/ansicht geschützte systemdatien ausblenden haken weg, systemdateien anzeigen haken hin, runterscrollen haken hin bei alle dateien und ordner anzeigen.
dann gehe wieder in den normalen modus.

Shadowdance 07.01.2005 19:03
und hier nochmal die völlig überflüssige Langfassung der Kurzfassung von Chris14:

so kompliziert ist das garnicht. Downloade zunächst LSP-Fix. Wenn Du Probleme bekommst, ins Netz zu kommen: die Internetverbindung trennen und LSP-Fix ausführen. Den Rechner neu booten.

Lade dann das ClearProg runter, leere damit die Ordner:

File C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp
File C:\DOKUME~1\WINDOW~1\LOKALE~1\TEMPOR~1\Content.IE5
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temp
File C:\Dokumente und Einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\Content.IE5
File C:\WINDOWS\Temp

Leere die Ordner:
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine
File C:\RECYCLER\

Diese Malware-Einträge bitte von Hand löschen:

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

--> Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung. Diese Dateien in die Windows Suche übertragen -> löschen:

File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\hooks.dll infected by "Trojan.Win32.Hooker" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\ivectx.exe infected by "Trojan.Win32.Agent.x" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\treaold.dll infected by "Trojan-Downloader.Win32.Small.rn" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\waluL_Sorpo.dll infected by "Trojan.Win32.StartPage.sc" Virus. Action Taken: No Action Taken.

File C:\Programme\Windows Media Player\wmplayer.exe.tmp infected by "TrojanDownloader.Win32.Agent.bi" Virus. Action Taken: No Action Taken.

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131