Trojaner-Board - ich glaub ich brech zusammen.............

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - ich glaub ich brech zusammen............. (https://www.trojaner-board.de/12283-glaub-brech-zusammen.html)

ich glaub ich brech zusammen.neuer Log bitte mal schauen

gerade fertig geworden und dann finde ich im reg cleaner was, was da nicht hingehört, oder habe ich mich nur verschaut.Habe gerade wieder windows/system32/winsys.exe gesehen

Logfile of HijackThis v1.98.2
Scan saved at 20:24:41, on 16.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Ahead\InCD\InCDsrv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\DOKUME~1\carsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
E:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQgotopageZ...sortpropertyZ2
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105895618359

Dein Hijackthis ist nicht aktuell.
Hier der direkte Downloadlink zur neusten Version.
Damit bitte einen neuen Log erstellen und posten.

Deine Datei, die dir sorgen macht (winsys.exe) kannst du ja mal hier online prüfen lassen :

http://virusscan.jotti.org/de

neuer log

Logfile of HijackThis v1.99.0
Scan saved at 05:38:10, on 17.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Ahead\InCD\InCDsrv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\DOKUME~1\carsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQgotopageZ...sortpropertyZ2
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105895618359
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDFC4A4F-6A51-4E32-888D-54DE8E8DCDA9}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper - Ahead Software AG - E:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich bete die ganze nacht schon :-(

Hast du Datei denn nun noch und hast du sie überprüft? Im Log ist erstmal nichts weiter zu sehen.
Lass mal E-Scan durclaufen:

http://www.trojaner-board.de/42731-escan-anleitung.html

also die Datei winsys exe ist nach wie vor da. Escan hat nix gefunden.

Muss ich Escan im abgesicherten machen ??? Habe escan nur im normalen modus gemacht

Carsten

Zitat:

Zitat von carsten75

Muss ich Escan im abgesicherten machen ???

Ja, steht aber auch in der verlinkten Anleitung.....

hmmm, aber wie komme ich dort hin, in den abgesicherten Modus ???

Carsten

@ carsten75

.. Brille gefällig? .. ;) .. abgesicherter Modus ...

sorry, bischen Stress ,meine Frau dreht schon am Rad. Nörgelt rum das nur ich immer Viren habe und sie auf ihrem PC der mit meinem via crossover Kabel verbunden ist , nie.....bla bla bla.

So Escan findet nix im abgesicherten. Habe noch mal ein Log im abgesicherten gemacht.Weiss zwar nicht ob das was bringt, aber bitte:

Logfile of HijackThis v1.99.0
Scan saved at 20:02:13, on 17.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\DOKUME~1\carsten\LOKALE~1\Temp\mwavscan.com
E:\DOKUME~1\carsten\LOKALE~1\Temp\kavss.exe
E:\DOKUME~1\carsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQgotopageZ...sortpropertyZ2
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105895618359
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper - Ahead Software AG - E:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

Carsten

@ carsten75

nörgeln ist eine Form einem Menschen zu sagen, wieviel er einem bedeutet ... das muss man halt bloss verstehen .. ;)

--> boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://search.ebay.de/_W0QQgotopage...osortpropertyZ2

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung und boote neu.

--> Weisst Du vielleicht, was das ist:

O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe

Poste mal bitte folgendes aus der mwav.log (unter C:\bases)

Zitat:

Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:

Zitat:

Zitat von Shadowdance
--> Weisst Du vielleicht, was das ist:

O4 - HKLM\..\Run: [NVCLOCK

Rundll32 nvclock.dll,fnNvclock
O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe

Was meinst Du damit ????
3d turbo ist meine Graka
das darüber KA

Den Rest werde ich umgehend erledigen @ Haui

CARSTEN

ich wollte nur wissen, was es ist. Poste bitte das Ergebnis des eScan.

So, hier der Escan:
Mon Jan 17 20:59:08 2005 => ***** Checking for specific ITW Viruses *****
Mon Jan 17 20:59:08 2005 => Checking for Welchia Virus...
Mon Jan 17 20:59:08 2005 => Checking for LovGate Virus...
Mon Jan 17 20:59:08 2005 => Checking for CodeRed Virus...
Mon Jan 17 20:59:08 2005 => Checking for OpaServ Virus...
Mon Jan 17 20:59:08 2005 => Checking for Sobig.e Virus...
Mon Jan 17 20:59:08 2005 => Checking for Winupie Virus...
Mon Jan 17 20:59:08 2005 => Checking for Swen Virus...
Mon Jan 17 20:59:08 2005 => Checking for JS.Fortnight Virus...
Mon Jan 17 20:59:08 2005 => Checking for Novarg Virus...
Mon Jan 17 20:59:08 2005 => Checking for Pagabot Virus...
Mon Jan 17 20:59:08 2005 => Checking for Parite.b Virus...
Mon Jan 17 20:59:08 2005 => Checking for Parite.a Virus...

Mon Jan 17 20:59:09 2005 => ***** Scanning complete. *****

Mon Jan 17 20:59:09 2005 => Total Files Scanned: 3610
Mon Jan 17 20:59:09 2005 => Total Virus(es) Found: 0
Mon Jan 17 20:59:09 2005 => Total Disinfected Files: 0
Mon Jan 17 20:59:09 2005 => Total Files Renamed: 0
Mon Jan 17 20:59:09 2005 => Total Deleted Files: 0
Mon Jan 17 20:59:09 2005 => Total Errors: 3
Mon Jan 17 20:59:09 2005 => Time Elapsed: 00:02:37
Mon Jan 17 20:59:09 2005 => Virus Database Date: 2005/01/15
Mon Jan 17 20:59:09 2005 => Virus Database Count: 115613

Mon Jan 17 20:59:09 2005 => Scan Completed.

Sag mir nur wieso ich den einen Fixen sollte ??? Jetzt ist meine Startseite ja wech.Habe da jetzt about blank stehen ???? Muss das so sein ???

Grüße Carsten

Ich habs mir gedacht. Du hast eScan falsch ausgeführt.
Scanne erneut mit eScan, halte dich diesmal aber bitte an die Anleitung ("all local drives" muss aktiviert sein!!!)