|
Ächz....Startseite schmuddelig, bitte um Hilfe ! Hallo zusammen, seit heute kommen wir hier in der WG zu einer "Schmuddelstartseite". :pfui: Spywareprogramme haben nichts gefunden. Im logfile von AntiVir habe ich folgendes gefunden: TR/Dldr.agent.ex, ist aber angeblich automatisch gelöscht worden !? Weiß nicht mehr weiter, bin Halblaie. Bitte um Euere Hilfe! Danke in voraus Logfile of HijackThis v1.99.1 Scan saved at 15:22:27, on 07.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svhost.exe C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVSCHED32.EXE C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\system.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\UltimateZip\uzqkst.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Hijack\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe O2 - BHO: PopThis BHO - {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NvCplSystem] C:\WINDOWS\system.exe O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Startup: PowerReg Scheduler.exe O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{3DA440E6-EB62-4D21-BD27-050F452902EC}: NameServer = 10.0.1.101 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe |
Hi Du.. GANZ Böser Eintrag !!! F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe und Prozess : C:\WINDOWS\System32\svhost.exe Lad Dir bitte eScan runter, update und lass im ABGESICHERTEN Modus scannen (eine Anleitung dazu findesz Du in meiner Signatur) Nach dem Scannen, öffne das Log, durchsuche die Dtaei nach dem Wort "INFECTED" und poste hier die Heuristic, die etwa so aussehen sollte : Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: xxxxx Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: xx . . . . Poste bitte dazu, was gefunden wurde (also falls ein Virus u.ä. gefunden wurde auch die Heuristic) !!! Aber ich vemute, der wird da einiges finden, und eine Neuinstallation des Systemes ist unvermeidbar (lies mal meine Signatur zum Thema System neu aufetzen ! Daran auch halten ;) ) Gruß Andy :blabla: |
Hallo maxmax, lass bitte folgende Dateien: C:\WINDOWS\System32\svhost.exe C:\WINDOWS\system.exe hier online scannen: http://virusscan.jotti.org/de Teile das jeweilige Ergebnis mit. dartus |
@FancyAndy, erst die beiden Dateien online scannen. :daumenhoc dartus |
Zitat:
(sag doch einfach, dass Du zu langsam warst *g* :D) |
@FancyAndy, Escan ist überflüssig. Nur verlorene Zeit. dartus |
So, ersmal Dank für die schnellen Tips! Ich habe die beiden Dateien prüfen lassen, hier die Ergebnisse: Für svhost.exe AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender BehavesLike:Win32.ExplorerInfector gefunden (mögliche Variante) ClamAV Keine Viren gefunden Dr.Web Trojan.DownLoader.2102 gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Virus.Win32.Bube.l gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Scanning, bitte warten... VBA32 Scanning, bitte warten... Für system.exe: AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender BehavesLike:Win32.ExplorerInfector gefunden (mögliche Variante) ClamAV Keine Viren gefunden Dr.Web Trojan.DownLoader.2102 gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Virus.Win32.Bube.l gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Scanning, bitte warten... VBA32 Scanning, bitte warten... Norman und VBA32 haben auch nach einiger Zeit nicht geantwortet. Gibt es noch Hoffnung? :confused: |
Hallo maxmax, wie FancyAndy dies schon bemerkte: 1. Downloade Dir escan und befolge genau diese Anleitung (Scan im ABGESICHERTEN MODUS dauert etwa eine Stunde, Optionen „All Local Drives“ und „Scan all Files“), http://www.systemwiederherstellung-d...indows-xp.html 2. starte nach dem Scan wieder in den normalen Modus, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
ok, mach ich, wird ne Weile dauern, wir haben hier nur isdn. Kann es sein, daß ich in den üblichen Suchmaschienen keine Infos mehr zu viren o.ä. kriege??? |
Zitat:
dartus |
Als ich bei der Suche nach dem bei mir gefundenen Müll die Namen der Viren und Würmer in die Suchmaschienen wg. Infos eingab bekam ich überall 0! Ergebnisse. Ich meine gehört zu haben, daß manche viren den Zugriff auf bestimmte Hilfe-Seiten sperren. |
@dartus sagte doch er solle via escan scannen ;) *g* wußte dass es schlimmer kommt, gespühr für sowas :P :blabla: |
nochmal großes ächz: Beim hochfahren bleibt der Monitor dunkel...erst bei windows startfenster springt er an. Hat jemand einen Tip??? Trau mich nicht im laufenden Betrieb in den abgesicherten Modus zu gehen (wie beschrieben). Hilft ein scan im normalen Modus nichts? Soll ich eigentlich e Scan im normalen oder abgesicherten Modus installieren, oder nur den Scan im abgesicherten machen??? Dank und Gruß maxmax |
Hi :D Solange F8 drücken beim hochfahren, bis Du ABGESICHERTEN Modus auswählen kannst... Du installierst im normalen Modus un updatest dort, jedoch das Scannen bitte im abgesicherten... Gruß Andy |
Soweit alles ok und erledigt. Nur wie gesagt, beim Hochfahren bleibt unser Monitor dunkel. F8 drücken hilft da leider nicht viel... Wenn ich dann einen Restart drücke und normal hochfahre, dann springt der Monitor beim Windows-Anmelden an :heulen: . Ich versuche einen alten Röhrenmonitor aufzutreiben, mit dem hat man das hochfahren beobachten können. Gruß maxmax |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board