|
Noch ein Trojaner Opfer Hallo! Ich hoffe ihr könnt mir weiterhelfen. Ich habe den Kaspersky Scanner im abgesicherten Modus den ganzen Rechner durchjagen lassen. Er hat auch einige Trojaner gefunden und sie entfernt. Aber sobald ich wieder normal starte, habe ich das gleich Problem. Meine Cpu Auslastung ist bei 100% und ich kann nach kurzer Zeit nichts mehr machen. Hier mein HiJackthisLog während des normalen Betriebes: Logfile of HijackThis v1.98.2 Scan saved at 21:46:41, on 18.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\Programme\iTunes\iTunesHelper.exe C:\programme\powerstrip\pstrip.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\flcss.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\YA\Desktop\anti_trojaner\HijackThis.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\imapi.exe C:\WINDOWS\system32\rundll32.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter 2.0\\RegistryController.exe" O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0\IEShellExt.dll /500 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...show.php?cc=de O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a2edc6fc4885a4 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095838883125 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3502B3A-F97A-4423-BDA9-5267079EE830}: NameServer = 192.168.0.1 |
Dies im abgesicherten modus bei deaktivierter Systemwiederherstellung Fixen: O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MT.../show.php?cc=de O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...aa2edc6fc4885a4 Dein Problem ist wahrscheinlich folgendes: Wenn ichs richtig sehe hast du Panda Antivirus und Kaspersky Anti Virus gleichzeitig laufen, das sollte man auf keinen Fall machen. 2 Virenscanner behindern sich nur und verursachen fehler, wenn sie paralell laufen. Also entscheide dich für einen der beiden VirenWächter. Für On-Demand scans kannst du den zweiten dann natürlich aktviert lassen. |
1. Frage: wie stell ich das ein: abgesicherter Modus bei deaktiviertter Systemwiederherstellung? also wie ich in den abgesichertten Modus komme weiss ich, aber wie asktiviere ich die "deaktivierung der systemwiederherstellung"? 2.Frage ;) was ist mit F-Prot und esacn? kann man die zusammen laufen lassen? |
Zitat:
zu 2 - F-Prot kann ausgestellt werden, im abgesicherten Modus, wie alle anderen Programme auch. eScan hat keinen Hintergrundwächter und wird nur zur Prüfung des Rechners verwendet. Beide Programme laufen also nicht zusammen. SD |
danke für die schnelle Antwort. Habe alles umgesetzt, es hat sich aber prinzipiel nichts geändert. Die Cpu Auslastung ist immer noch auf 100%. Hier die aktuelle Log datei: Logfile of HijackThis v1.98.2 Scan saved at 22:09:10, on 18.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\Programme\iTunes\iTunesHelper.exe C:\programme\powerstrip\pstrip.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\flcss.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\YA\Desktop\anti_trojaner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter 2.0\\RegistryController.exe" O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0\IEShellExt.dll /500 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095838883125 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3502B3A-F97A-4423-BDA9-5267079EE830}: NameServer = 192.168.0.1 |
Zitat:
|
Das wird auch in dem von SD geposteten Link erklärt |
|
Kein Virus gefunden! Service load: 0% 100% File: flcss.exe Status: OK Packers detected: None AntiVir No viruses found (0.15 seconds taken) Avast No viruses found (1.72 seconds taken) BitDefender No viruses found (0.95 seconds taken) ClamAV No viruses found (0.64 seconds taken) Dr.Web No viruses found (0.46 seconds taken) F-Prot Antivirus No viruses found (0.05 seconds taken) Kaspersky Anti-Virus No viruses found (0.55 seconds taken) mks_vir No viruses found (0.19 seconds taken) NOD32 No viruses found (0.32 seconds taken) Norman Virus Control No viruses found (0.57 seconds taken) |
ich denke schon dran mein System neu aufzusetzen, aber das wäre eine sau Arbeit, weil allein schon die Einstellungen und die Daten zu sichern ist total aufwendig. Kann man vielleicht Windows drüberkopieren, sodass alle Benutzer und Programme erhalten bleiben? Aber ich muss sagen, dass sich das ganze sehr verbessert hat. Also es läuft um einiges viel besser, aber der Cpu ausschlag ist immer noch auf 100%. Und der Prozess svchost.exe beansprucht etwa 38mb |
Hallo Yaap, um sicher zu gehen, ob Du richtig denkst, könntest Du bitte den eScan auf Deinem Rechner ausführen: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. SD |
@SD Er hat doch schon mit KAV gescannt @YAPP Was hat KAV denn eigentlich gefunden? |
@SD Da hat Lidius recht! @LD folgende Einträge hat er als Trojanisches Programm bzw. Virus TrojanDownloader identifiziert und gelöscht: c:/windows/nsdb/hosts -> Win32.Qhost.y c:/windows/system32/tksrv98.exe -> Win32.Esepor.q c:/windows/system32/tmksrvu.exe -> Win32.Esepor.s c:/windows/system32/xplugin.dll -> Win32.Esepor.q c:/windows/system32/config/systemprofile/Anwendungsdaten/Opera/Opera75/profile/cache4/opr0001T.js -> JS.FlingStone |
Läuft KAV mit den Standart oder den erweiterten Signaturen? (Um nachzusehen KAV öffnen -> Einstellungen ->Update ->dort muss "aus dem Internet, erweiterte Datenbanken" angewählt sein) Falls nicht bisher mit Standart Signaturen gearbeitet wurde, das in KAV umstellen, updates runterladen, nochmal den PC mit KAV scannen |
Habe das ganze umgestellt und er zieht sich gerade die erweiterten Signaturen. Das Scannen kann wieder eine Zeit lang dauern. Melde mich morgen wieder. Vielen Dank! |
Hallo, habe gerade ein kompletten Scan im abgesicherten Modus durchgeführt, nachdem ich die erweiterte Signaturen runtergeladen. Es wurden einige Viren gefunden und gelöscht. Aber es hat sich trotzdem nichts gändert. Hier mein aktueller LOG: Logfile of HijackThis v1.98.2 Scan saved at 12:54:50, on 19.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\Dokumente und Einstellungen\YA\Desktop\xampplite\apache\bin\Apache.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\Programme\iTunes\iTunesHelper.exe C:\programme\powerstrip\pstrip.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\flcss.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\YA\Desktop\anti_trojaner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDF Converter 2.0\\RegistryController.exe" O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDF Converter 2.0\IEShellExt.dll /500 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095838883125 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3502B3A-F97A-4423-BDA9-5267079EE830}: NameServer = 192.168.0.1 |
Also soweit findet Kaspersky nichts mehr, daraufhin habe ich mal Spybot suchen lassen und er findet ein OpaServ: Worm c:/WINDOWS/scrscr.exe Natürlich hab ich den sofort entfernen lassen, aber Spybot findet den immer wieder aufs Neue. Habe daraufhin von Symantec den OpaServ Wormcleaner runtergeladen und suchen lassen, der hat nichts gefunden. So ein mist! :headbang: Hab alles nach Anleitung gemacht, Systemwiederherstellung deaktiviert usw. Gibt es für den Wurm vielleicht ein anderes Tool oder ein Cleaner, oder kann es sein dass es ein anderer Wurm ist? Kann mir da jemand genaueres sagen? |
Zitat:
http://virusscan.jotti.org/de Gruß :daumenhoc Yopie |
Die Symptome sprechen sehr stark für den Virus. Ich habe auch versucht die Datei unter http://virusscan.jotti.org/de online zu scannen, aber mir wird dann das hier ausgegeben: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Ich habe es mal mit einer anderen Datei probiert, das klappt. Vielleicht ist die im Gebrauch? Muss ich die Vielleicht im abgesicherten Modus mal online scannen. hmm, ich mach das mal. |
Ich weiss jetzt wirklich nicht mehr weiter! Also wenn ich die Datei c:\windows\scrsvr.exe online scanne, bekomme ich diese Fehlermeldung: "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file" Wenn ich mir die Eigenschaften dieser Datei anschaue, wird angegeben, das sie 0 byte groß ist. Unter C:\windows ist noch eine Verknüpfung die den selben namen trägt, diese ist 2,78 kb gross und verweist auf die c:\windows\scrsvr.exe Datei. Die Verknüpfung kann ich online scannen und ich erhalte, das kein virus gefunden wurde. Übrigens ich hab mal die DAtei scrsvr.exe gelöscht. Beim Neustart war sie wieder da. Die ganzen Aktion hab ich unterm abgesicherten Modus gemacht. |
@ Yaap hier findest Du einen Cleaner gegen Win32.Worm.Opaserv. Wenn Du unter WindowsXP Dateien und Einträge löschen willst, muss Du dies nicht nur im abgesicherten Modus, sondern auch bei deaktivierter Systemwiederherstellung tun, da sonst die gelöschten Dateien bei einem Neustart des Systems wieder hergestellt werden. Nach dem löschen wieder in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board