Trojaner-Board - virus kommt immer wieder zurück

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - virus kommt immer wieder zurück (https://www.trojaner-board.de/16203-virus-kommt-immer-zurueck.html)

virus kommt immer wieder zurück

hallo bin neu hier und habe en viren problem. der kommt immer wieder zurück das schon seit 2 wochen jetzt hat mir einer geagt ich soll das mal hier reinschreiben.
hier die lok datei :
Logfile of HijackThis v1.99.1
Scan saved at 22:30:45, on 03.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Skype\Phone\Skype.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\wisptis.exe
C:\WINDOWS\system32\rsvp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\winamp.exe
C:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HijackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rautemusik.fm/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {784B7192-11D0-9CA7-C125-450270DD94BD} - C:\DOKUME~1\ANDREA~1\ANWEND~1\BOWSLO~1\Copy Tick.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Logo 64 Inside Roam] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Save vc logo 64\01platform.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [TRUST WARN] C:\DOKUME~1\ANDREA~1\ANWEND~1\CREATI~1\bore thunk test.exe
O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe

hoffentlich ist das so richtig. :crazy:
und hoffentlich kann mir einer helfen. :heilig:

Welches Programm fand denn wo welchen Virus?

Edit:Sehe gerade du hast Antivir-schau mal in der Reportdatei des Programms nach was gefunden wurde.

Hi Andy!

Welcher Virus ?
Schau einmal unter C:\Programme\AVPE oder AntiVir\Infected nach, was hier alles vorhanden ist bzw. C:\Programme\AVPE oder AntiVir\Logfiles nach, den Inhalt hier posten

Hallo Andi90,

falls Du folgende Dateien nicht kennst:

C:\DOKUME~1\ANDREA~1\ANWEND~1\BOWSLO~1\Copy Tick.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Save vc logo 64\01platform.exe
C:\DOKUME~1\ANDREA~1\ANWEND~1\CREATI~1\bore thunk test.exe

bitte hier online scanne:

http://virusscan.jotti.org/de

Teile das jeweilige Ergebnis mit.

Hast Du den Messenger 3! Plus mit Sponsorenprogrammen installiert?
Falls ja, deinstallieren-->Spyware frei Haus
Ohne Sponsorprogramme installieren.

dartus

Zitat:

Zitat von cronos

Welches Programm fand denn wo welchen Virus?

Edit:Sehe gerade du hast Antivir-schau mal in der Reportdatei des Programms nach was gefunden wurde.

Antivir findet nichts aber Ad-aware. Und es ist immer der selbe.

@dartus
ja ich habe msn plus habe damals mit sponsor installiert habe aber beim neuen update ohne installiert.Aber ich geh nur selten über Internet Exlorer ins Internet. Ich nehme normaler weise den Firefox aber der kann nicht alle seiten öffnen.

@atomic 11:ich kann dir nur die von ad-aware geben habe gerade durchlaufen lassen und der hat 3 viren gefunden und wie immer sie selben.
obj[0]=File : c:\dokumente und einstellungen\andreas m\cookies\andreas m@atdmt[2].txt
obj[1]=File : c:\dokumente und einstellungen\andreas m\cookies\andreas m@revenue[2].txt
obj[2]=File : c:\dokumente und einstellungen\andreas m\cookies\andreas m@casalemedia[1].txt

mehr weiß ich nicht. Wenn es dir weiterhilft.

Und ich habe mal die dateien durchsuchen lassen:

die erste datei:
Datei: Copy Tick.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
Bitte warten...

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Trojan.Downloader.Swizzor.BO gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Swizzor gefunden
F-Prot Antivirus
W32/Swizzor.BM@dl gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Swizzor.bo gefunden
mks_vir
Win32.4 gefunden (mögliche Variante)
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden

und die zweite:
Datei: bore thunk test.exe
Status:
INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
Bitte warten...

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Swizzor gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
not-a-virus:AdWare.Lop.k gefunden
mks_vir
Win32.4 gefunden (mögliche Variante)
NOD32
Keine Viren gefunden
Norman Virus Control
Lop.E gefunden
VBA32
Keine Viren gefunden

und die dritte:
Datei: bore thunk test.exe
Status:
INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
Bitte warten...

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.Swizzor gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
not-a-virus:AdWare.Lop.k gefunden
mks_vir
Win32.4 gefunden (mögliche Variante)
NOD32
Keine Viren gefunden
Norman Virus Control
Lop.E gefunden
VBA32
Keine Viren gefunden

Hallo Andi90,

Zitat:

ch nehme normaler weise den Firefox aber der kann nicht alle seiten öffnen.

So ist es richtig. :daumenhoc

Zitat:

ich kann dir nur die von ad-aware geben habe gerade durchlaufen lassen und der hat 3 viren gefunden und wie immer sie selben.

Das sind 'nur' Cookies.
Leere diese Ordner und dann hast du Ruhe:
c:\dokumente und einstellungen\andreas m\cookies

Info:
http://www.www-kurs.de/cookies.htm

Das sind nur cookies, keine Viren.Kannst du bedenkenlos löschen.
Scans mit Adaware und deinem Virenprogramm zukünftig immer im abgesicherten Modus bei deaktivierter Systemwiederherstellung durchführen:
http://www.systemwiederherstellung-d...indows-xp.html

Cidre war mal wieder schneller ;)

stimmt habe gerade noch mal ad.aware durchlaufenlassen und es kommrt kein emeldung mehr. Und es geht beim explorer endlich keine Werbung mehr auf. :o

Danke! für die Hilfe! :party:

Hallo Andi90,

die Dateien lösch bitte auch.

dartus

die dateien lassen sich nicht löschen!!

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben und entferne die Malware manuell.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Einstellungen bitte wie folgt setzen:

http://www.trojaner-info.de/hijacker/bilder/escan2.jpg

Zitat:

C:\-------\temp\Hijackthis.exe

HijackThis niemals aus einem temp. ordner ausführen, das programm so anlegen C:\Programme\HijackThis\HijackThis.exe dann klappt es auch mit dem backup

deaktiviere die systemwiederherstellung,wechsle in den abgesicherter modus von winxp

öffne HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA
hier fügst du deine vorher nicht zu löschenden dateien ein :)

dann schau dir das noch an, bevor du mit escan scannst, den je mehr du vorher schon eliminierst, desto weniger musst du nacher suchen
---------------------------------------
start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein,oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein möglicher grund: es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.
---------------------------------------
meist gibt es bei antivirenprogrammen einen infectet oder quarantäne-ordner, diesen bitte leeren.
---------------------------------------
start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und einstellungen nie aktivieren
---------------------------------------
explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien
(ordneransicht beachten, und alle temp. ordner suchen, sind noch dateien vorhanden manuell löschen)
> geschützte systemdateien ausblenden < deaktivieren und
> versteckte ordner und verzeichnisse < aktivieren
---------------------------------------

ich versteh nicht so ganz was du meinst :headbang: