Trojaner-Board - HIIIILLFFEEE Bitte schnell

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HIIIILLFFEEE Bitte schnell (https://www.trojaner-board.de/13606-hiiiillffeee-bitte-schnell.html)

HIIIILLFFEEE Bitte schnell

Hallo alles zusammen ich habe ein größeres Problem ich glaub ich habe mehrere Viren & Trojaner auf meinem PC beim Hochfahren bekomm ich z.B immer eine Meldung das ein Virus gefunden wurde wenn ich ihn lösche ist er so in ca. 2 Std. wieder da ??

Könnt ihr euch mal bitte meine Hijack Log angugcken ??

Hier ist Sie :

Logfile of HijackThis v1.98.2
Scan saved at 20:27:10, on 10.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Desktop Sidebar\dsidebar.exe
C:\Programme\Volumouse\volumouse.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2_05\bin\javaw.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Java\J2RE14~4.2_0\bin\java.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\DaDon\Desktop\Internet\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.chip.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 207.36.118.172:80
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AF8F867D-DA2F-885F-BE05-93E3F41372E2} - C:\WINDOWS\system32\eqjyqqbl.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: (no name) - {CFCEE308-5AAF-87F2-9FC8-0B59F4F7FD55} - C:\WINDOWS\system32\sraiqdyx.dll
O2 - BHO: (no name) - {E086789B-2648-FF16-0D73-C8345E4B6649} - C:\WINDOWS\system32\hxdkrxji.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [mmtask1] C:\WINDOWS\system32\mmtask1.exe
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [$Volumouse$] "C:\Programme\Volumouse\volumouse.exe" /nodlg
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Azureus.lnk = C:\Programme\Azureus\Azureus.exe
O4 - Global Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: GetRight Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} - https://www.ibm.com/pc/support/acces...d/IbmEgath.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...27/mcfscan.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

Danke im vorraus

Codename

@codename
lade escan download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

ok hab ich also...

File C:\WINDOWS\system32\drivers\cznremuu.sys infected by "Trojan.Win32.Agent.aw" Virus. Action Taken: No Action Taken.

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

Thu Feb 10 22:40:53 2005 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
Thu Feb 10 22:40:53 2005 => File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

Thu Feb 10 22:40:53 2005 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
Thu Feb 10 22:40:53 2005 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
Thu Feb 10 22:40:53 2005 => File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

Thu Feb 10 22:40:53 2005 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
Thu Feb 10 22:40:53 2005 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
Thu Feb 10 22:40:53 2005 => File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.

Thu Feb 10 22:40:54 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

Thu Feb 10 22:40:55 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

Thu Feb 10 22:40:55 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

C:\Programme\Gemeinsame Dateien\CMEII\GSvcMgr.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

C:\Programme\Gemeinsame Dateien\CMEII\GSvcSAP.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

Fri Feb 11 15:28:50 2005 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll
Fri Feb 11 15:28:50 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

Fri Feb 11 15:28:50 2005 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GSvcMgr.dll
Fri Feb 11 15:28:50 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GSvcMgr.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

Fri Feb 11 15:28:50 2005 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GSvcSAP.dll
Fri Feb 11 15:28:50 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GSvcSAP.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

C:\Programme\0lD sCh00l\Exploits\windowjump.htm infected by "not-virus:Joke.JS.RJump.d" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP332\A0099288.sys infected by "Trojan.Win32.Agent.aw" Virus. Action Taken: No Action Taken.

Fri Feb 11 16:11:33 2005 => File C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP332\A0100289.sys infected by "Trojan.Win32.Agent.aw" Virus. Action Taken: No Action Taken.

Fri Feb 11 16:11:34 2005 => File C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP332\A0100315.sys infected by "Trojan.Win32.Agent.aw" Virus. Action Taken: No Action Taken.

Fri Feb 11 16:11:34 2005 => File C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP332\A0101311.sys infected by "Trojan.Win32.Agent.aw" Virus. Action Taken: No Action Taken.
Fri Feb 11 16:11:38 2005 => File C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP333\A0102080.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.

Fri Feb 11 16:11:38 2005 => Scanning File C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP333\A0102082.exe
Fri Feb 11 16:11:38 2005 => File C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP333\A0102082.exe infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
Fri Feb 11 16:11:40 2005 => File C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP333\A0102139.exe infected by "Backdoor.Win32.Optix.Pro.13" Virus. Action Taken: No Action Taken.
Fri Feb 11 16:11:54 2005 => File C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP336\A0103319.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

Fri Feb 11 16:11:54 2005 => File C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP336\A0103320.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Take
Fri Feb 11 16:11:59 2005 => File C:\System Volume Information\_restore{A1E8BF1A-B3CE-4D65-A15E-2957B786357E}\RP337\A0104291.sys infected by "Trojan.Win32.Agent.aw" Virus. Action Taken: No Action Taken.
Fri Feb 11 16:19:48 2005 => File C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken
Fri Feb 11 16:26:19 2005 => File C:\WINDOWS\iTopRebates\WebRebates_Auto.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus. Action Taken: No Action Taken.
Fri Feb 11 16:27:42 2005 => File C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\801TUMN6\a_5_0[1].txt infected by "Trojan.Win32.Agent.aw" Virus. Action Taken: No Action Taken.
Fri Feb 11 16:57:45 2005 => File C:\Dokumente und Einstellungen\DaDon\Anwendungsdaten\Thunderbird\Profiles\default\m2ohi8yc.slt\Mail\Local Folders\Sent infected by "Email-Worm.Win32.Sober.a" Virus. Action Taken: No Action Taken.
Fri Feb 11 17:01:17 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0C340000.VBN infected by "Trojan-Downloader.Win32.Lexbac.a" Virus. Action Taken:Fri Feb 11 17:21:21 2005 => File D:\Downloads\qksetup.exe infected by "not-a-virus:AdWare.CommonName.b" Virus. Action Taken: No Action Taken.

Bitteschön

kleiner tipp

nächstes mal die neue version von hijackthis benutzen :blabla:

1. ich bin mir nicht sicher, aber ist der Trojan.Win32.Agent.aw nicht dazu zuständig, dass dritte auf den pc zugreiffen können?

2. auf jedenfall weiss ich, dass der Trojan.Win32.Agent.aw ein Trojaner ist, der Win32EXE-Anwendungen infiziert und zur Weiterverbreitung nutzt.

wenn 1. stimmt, was mir vielleicht jemand hier bestätigen kann, würde ich das system neu aufsetzen. :(

Hallo zusammen.

Ich habe fertig mit die Böse Trojanerbuben....
Tagelang habe ich versucht das System zu reinigen....weil ja der IE immer wieder automatisch öffnet und der PC sich selber startet.

15 Stunden suchen nach Trojaners und nix passeirt.

Heute mit Kolegen Festplatte platt gemacht und neu aufgesetzt und denoch ist das Problem da.

Will also gleich die SP2 bei Mircosoft lowden da gibt Micro mir eine Virenwarnung....BEVOR ich das SP2 noch laden kann.

Jetz nix mehr wissen was tun.
Weiß jemand was diese bedeutet? Habe ich schon beim letzten mal "gefixt" und ist nun wieder drauf????
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

Logfile of HijackThis v1.99.0
Scan saved at 17:27:34, on 11.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\WINDOWS\System32\axuhwz.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Francesco\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE
O4 - HKLM\..\Run: [Windows Compliant] axuhwz.exe
O4 - HKLM\..\RunServices: [Windows Compliant] axuhwz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Compliant] axuhwz.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O17 - HKLM\System\CCS\Services\Tcpip\..\{59766DC5-7539-4492-83AA-1727D95DE99A}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Hallo Franksmission!

Mache bitte folgendes:

Lade dir CLEARPROG runter.

Erstelle diesen Ordner auf deinem Laufwerk c:\bases.
Downloade dir escan Enpacke die Zip file mwav.zip in den selben Ordner.
Update, indem du die Datei kavupd.exe startest danach
wechsle in den abgesicherten modus.

Abgesicherten Modus.

Säubere mit Clearprog im abgesicherten Modus bei abgeschaltener Systemwiederherstellung (Rechtsklick auf den Arbeitsplatz--> Eigenschaften --> Systemwiederherstellung (Haken bei "Systemwiederherstellung bei allen Laufwerken deaktivieren setzen" dein komplettes System.

Scanne mit escan!
Öffne dazu den Explorer, gehe zum Ordner c:\bases und starte die Datei mwavscan.exe.

Diese Einstellungen beachten: http://www.trojaner-board.de/42731-escan-anleitung.html.

Danach fixe folgende Einträge mit HJT.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Weiters lasse die C:\WINDOWS\System32\axuhwz.exe HIER überprüfen.

Bitte danach escan und HJT Log posten.

Zitat:

Zitat von Franksmission

Heute mit Kolegen Festplatte platt gemacht und neu aufgesetzt und denoch ist das Problem da.

Will also gleich die SP2 bei Mircosoft lowden da gibt Micro mir eine Virenwarnung....BEVOR ich das SP2 noch laden kann.

In jedem zweiten Thread wird eine Anleitung zum sauberen Installieren gegeben. Wenn Du Dich daran hältst, dann kann sowas nicht passieren! Dein System ist null gepatcht, dann passiert halt sowas. Du kannst wahrscheinlich direkt nochmal neu aufsetzen. Auf http://www.trojaner-info.de/ findest Du die Anleitung.

Zitat:

Zitat von Franksmission

Weiß jemand was diese bedeutet? Habe ich schon beim letzten mal "gefixt" und ist nun wieder drauf????
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

Mitdenken ist erlaubt! Acer ist ein PC-Hersteller, v.a. Notebooks. Hast Du eine Windows-CD, die beim Kauf des Rechners dabei war? Lässt sich sicher "fixen", indem Du im IE ganz einfach eine andere Startseite einstellst.

Abgesehen davon solltest Du den IE sowieso nur für Windowsupdates benutzen.

Gruß :daumenhoc
Yopie

Zitat:

O4 - HKLM\..\Run: [Windows Compliant] axuhwz.exe
O4 - HKLM\..\RunServices: [Windows Compliant] axuhwz.exe
O4 - HKCU\..\Run: [Windows Compliant] axuhwz.exe

Das sieht mir verdächtig nach einer Bot-Variante aus -> Rbot-IR

=> http://www.trojaner-board.de/showpos...28&postcount=2

Du kannst ja zur Sicherheit nochmal mit eScan scannen.

PS: Bevor du deinen PC platt gemacht hast, war sogar eine Optix-Variante drauf....

Ähmm waäre jd so net u. könnte nochmal jd. The Don's frage beantworten ob ich das system jetzt neu aufsetzen muss...

*bittenicht*

Es muss doch irgendeine andere Lösung geben oder??

doch schon. ein rbot-iq hat backdoor funktionalität. du kannst niemals nachprüfen ob nicht was an deinen systemdateien verändert wurde. also tu was dir geraten wurde und installiere windows neu ;)

Zitat:

Zitat von Chris14

doch schon. ein rbot-iq hat backdoor funktionalität. du kannst niemals nachprüfen ob nicht was an deinen systemdateien verändert wurde. also tu was dir geraten wurde und installiere windows neu ;)

Das war bei dem anderen Poster, denke ich.

Aber allein die Tatsache, dass Codename mal den Optix drauffgehabt hast, lässt auch dort keine andere Möglichkeit zu.

Gruß :daumenhoc
Yopie

ALso das mit dem Optix...das war mein eigener sollte kein virus sein sondern nur ein prog. zum fernsteuern....den hab ich aber auch schon längst gelöscht....
Hat escan die dat. auch schon gelöscht????

Kann ich WINXP mithilfe von rep. drüberinstallieren ??

Du willst einen Optix einsetzen, aber scheiterst daran, Deinen Rechner malwarefrei zu halten? :headbang:

Setz das System neu auf, inkl. "format c:". Und lies den Link in meiner Signatur.

Gruß :daumenhoc
Yopie

WWWWWAAAAAAASSSSS??Das könnt ihr mir doch net antun :balla: ES muss doch irgend ein tool geben das auch systemdateien gründlich durchsucht!!!!!!!

sorry aber wir sind nicht toyota