|
Hallo, habe gerade ein kompletten Scan im abgesicherten Modus durchgeführt, nachdem ich die erweiterte Signaturen runtergeladen. Es wurden einige Viren gefunden und gelöscht. Aber es hat sich trotzdem nichts gändert. Hier mein aktueller LOG: Logfile of HijackThis v1.98.2 Scan saved at 12:54:50, on 19.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\Programme\iTunes\iTunesHelper.exe C:\programme\powerstrip\pstrip.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\flcss.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\YA\Desktop\anti_trojaner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter 2.0\\RegistryController.exe" O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0\IEShellExt.dll /500 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095838883125 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3502B3A-F97A-4423-BDA9-5267079EE830}: NameServer = 192.168.0.1 |
Also soweit findet Kaspersky nichts mehr, daraufhin habe ich mal Spybot suchen lassen und er findet ein OpaServ: Worm c:/WINDOWS/scrscr.exe Natürlich hab ich den sofort entfernen lassen, aber Spybot findet den immer wieder aufs Neue. Habe daraufhin von Symantec den OpaServ Wormcleaner runtergeladen und suchen lassen, der hat nichts gefunden. So ein mist! :headbang: Hab alles nach Anleitung gemacht, Systemwiederherstellung deaktiviert usw. Gibt es für den Wurm vielleicht ein anderes Tool oder ein Cleaner, oder kann es sein dass es ein anderer Wurm ist? Kann mir da jemand genaueres sagen? |
Zitat:
http://virusscan.jotti.org/de Gruß :daumenhoc Yopie |
Die Symptome sprechen sehr stark für den Virus. Ich habe auch versucht die Datei unter http://virusscan.jotti.org/de online zu scannen, aber mir wird dann das hier ausgegeben: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Ich habe es mal mit einer anderen Datei probiert, das klappt. Vielleicht ist die im Gebrauch? Muss ich die Vielleicht im abgesicherten Modus mal online scannen. hmm, ich mach das mal. |
Ich weiss jetzt wirklich nicht mehr weiter! Also wenn ich die Datei c:\windows\scrsvr.exe online scanne, bekomme ich diese Fehlermeldung: "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file" Wenn ich mir die Eigenschaften dieser Datei anschaue, wird angegeben, das sie 0 byte groß ist. Unter C:\windows ist noch eine Verknüpfung die den selben namen trägt, diese ist 2,78 kb gross und verweist auf die c:\windows\scrsvr.exe Datei. Die Verknüpfung kann ich online scannen und ich erhalte, das kein virus gefunden wurde. Übrigens ich hab mal die DAtei scrsvr.exe gelöscht. Beim Neustart war sie wieder da. Die ganzen Aktion hab ich unterm abgesicherten Modus gemacht. |
@ Yaap hier findest Du einen Cleaner gegen Win32.Worm.Opaserv. Wenn Du unter WindowsXP Dateien und Einträge löschen willst, muss Du dies nicht nur im abgesicherten Modus, sondern auch bei deaktivierter Systemwiederherstellung tun, da sonst die gelöschten Dateien bei einem Neustart des Systems wieder hergestellt werden. Nach dem löschen wieder in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board