|
Habe Trojaner komische Po-Ups Hallo ich ahbe seit heute mittag ein problem mit meinem Computer. Ich ahbe mir heute einen trojaner eingefangen und mein virenscanner hat diesen sofort geblockt und ich ahbe ihn gelöscht ich verwende AntiVir PersonalEdition. Aber als ich wieder normal Surfen wollte kam der Trojaner immer wieder und mein virenscanner hat ihn imemr wieder geblockt und ich ihn wieder gelöscht und ich bekomme diese Problem nicht in Griff. Außederm öffnen sich manchmal merkwürdige Po-Ups wenn ich bei Googel zum Beispiel "Trojanisches Pferd" eingebe. In dem Po-Up steht dass ich gewonnen hätte weil ich der 10000 Bescuher bin usw. es sind immer andere Nachrichten. Manchmal öffent sich aber auch einfach nur so eine kosmcieh Suchmaschine wenn ich über googel suche. der Trojaner heißt TR/Buddy.F ich weiß nicht was ich noch machen kann bitte helft mir :confused: |
kleine anmerkung ich meinte Pop-Ups und nicht Po-Ups |
übrigens habe ich WinXP und Service Pack 2 |
und das sind meine Logfiles: Logfile of HijackThis v1.99.1 Scan saved at 20:49:47, on 05.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HijackThis\hijackthis_199\HijackThis.exe C:\Programme\AVPersonal\AVGUARD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\rtneg3.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115307856265 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E0D424FA-CFE0-40BA-A6DC-1C9D92EF3396}: NameServer = 192.168.2.1,168.192.2.1 O20 - AppInit_DLLs: MsgPlusLoader.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) |
Hallo, wo wurde der Trojaner von AntiVir gefunden? Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information. Beachte die Hinweise! |
hallo,schonmal danke für eure schnelle antwort hier ist meine log: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu May 05 21:56:48 2005 => File C:\WINDOWS\system32\rsyncmon.dll infected by "not-a-virus:AdWare.SafeSurfing.e" Virus. Action Taken: No Action Taken. Thu May 05 21:58:23 2005 => File C:\WINDOWS\system32\netsync.exe infected by "not-a-virus:AdWare.SafeSurfing.d" Virus. Action Taken: No Action Taken. Thu May 05 21:59:24 2005 => File C:\DOKUME~1\Johannes\LOKALE~1\Temp\1.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 21:59:42 2005 => File C:\DOKUME~1\Johannes\LOKALE~1\Temp\KEL\aurareco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 21:59:44 2005 => File C:\DOKUME~1\Johannes\LOKALE~1\Temp\MXF\aurareco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 21:59:44 2005 => File C:\DOKUME~1\Johannes\LOKALE~1\Temp\OHX\aurareco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 21:59:56 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu May 05 21:59:55 2005 => Total Virus(es) Found: 6 Thu May 05 21:59:56 2005 => Total Errors: 3 Thu May 05 21:59:56 2005 => Time Elapsed: 00:03:50 Thu May 05 21:59:55 2005 => Total Objects Scanned: 3554 Thu May 05 21:55:55 2005 => Virus Database Date: 2005/05/05 Thu May 05 21:59:56 2005 => Virus Database Date: 2005/05/05 Thu May 05 22:05:00 2005 => Virus Database Date: 2005/05/05 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ ich hoffe ihr könnt damit was anfnagen ... ich vezweifel hier schon echt schönen gruß jogy |
Um sinnvolle eScan Ergebnisse zu erhalten, musst du schon die Anleitung lesen und auch richtig ausführen, denn ich habe diese nicht zum Spaß geschrieben. :rolleyes: Lösche die mwav.log! Wechsle in den abgesicherten Modus und konfiguriere eScan richtig. Danach postest du uns erneut die Virus Log Information. |
so ich habe jetzt noch einmal gescannt diesmal hat es fast 2 studen lang gedauert ... ist das normal ? naja hier ist die log: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu May 05 22:39:52 2005 => File C:\WINDOWS\system32\rsyncmon.dll infected by "not-a-virus:AdWare.SafeSurfing.e" Virus. Action Taken: No Action Taken. Thu May 05 22:41:39 2005 => File C:\WINDOWS\system32\netsync.exe infected by "not-a-virus:AdWare.SafeSurfing.d" Virus. Action Taken: No Action Taken. Thu May 05 22:42:44 2005 => File C:\DOKUME~1\Johannes\LOKALE~1\Temp\1.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 22:43:12 2005 => File C:\DOKUME~1\Johannes\LOKALE~1\Temp\KEL\aurareco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 22:43:15 2005 => File C:\DOKUME~1\Johannes\LOKALE~1\Temp\MXF\aurareco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 22:43:15 2005 => File C:\DOKUME~1\Johannes\LOKALE~1\Temp\OHX\aurareco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 22:52:07 2005 => File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\1.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 22:52:27 2005 => File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\KEL\aurareco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 22:52:29 2005 => File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\MXF\aurareco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 22:52:29 2005 => File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\OHX\aurareco.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu May 05 23:56:51 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Fri May 06 00:27:27 2005 => File C:\WINDOWS\system32\netsync.exe infected by "not-a-virus:AdWare.SafeSurfing.d" Virus. Action Taken: No Action Taken. Fri May 06 00:38:23 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri May 06 00:31:19 2005 => File E:\Game Cd´s\NFSU\NFSU-Trainer130\NFSU-Trainer1.3.0.exe tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri May 06 00:38:23 2005 => Total Virus(es) Found: 12 Fri May 06 00:38:23 2005 => Total Errors: 2 Fri May 06 00:38:23 2005 => Time Elapsed: 01:58:35 Fri May 06 00:38:23 2005 => Total Objects Scanned: 84640 Thu May 05 22:30:47 2005 => Virus Database Date: 2005/05/05 Thu May 05 22:38:07 2005 => Virus Database Date: 2005/05/05 Fri May 06 00:38:23 2005 => Virus Database Date: 2005/05/05 Fri May 06 00:39:17 2005 => Virus Database Date: 2005/05/05 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ ich hoffe dass ich es diesmal richtig gemacht habe und sry. dass es beim ersten mal falsch war. schönen gruß Jogy |
Diesmal hast du es richtig gemacht. :daumenhoc Wechsle in den abgesicherten Modus und beende diesen Dienst: Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf System Startup Service (SvcProc) -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen Fixe diese Einträge (Haken setzen und auf Fix Checked klicken): Zitat:
C:\WINDOWS\system32\rsyncmon.dll C:\WINDOWS\system32\rtneg3.dll C:\WINDOWS\svcproc.exe C:\WINDOWS\system32\netsync.exe Leere diesen Ordner: C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp - Neustart - dein System updaten - IE sicherer konfigurieren und nur noch für das Windows Update benutzen - Sichere und komfortablere Browser wie z.B. die Mozilla Suite oder Firefox verwenden - neues Log-File von HiJackThis posten |
danke erst mal für die antwort... aber heute morgen habe ich mich wieder ans werk gemacht und habe in den abgesichterten modus gewechselt. dann bin ich auf start gegangen und bei ausführen habe ich "service.msc" eingegeben, dann kamen alle dienste aber den dienst den ich beenden sollte habe ich nicht gefunden. Den gab es irgendwie gar nicht. Sollte ich mal gucken ob ich den dienst im normalen modus also nicht im abgesichterten modus finde? so dann habe ich mich erst mal an das fixen gemacht: Ich habe im abgesicherten modus HijackThis geöffnet und dann gescannt. Dann habe ich den eintrag "O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll" gefixt aber die anderen ahbe ich auch nicht gefunden. Soll ich vielelciht auch hier in den normalen modus wechseln und dann einmal suchen? Dann wollte ich mich erst mal an das löscehn der Datein machen aber ich habe diese KillBox nicht gefunden. Wo ist die? naja ich weiß jetzt gar nicht was ich machen soll danke schonmal für eure Hilfe schönen Gruß Jogy |
Hi Jogy HJT wird im normalen Modus ausgeführt, fixen und löschen im abgesicherten Modus bei deaktivierter Systemwiederherstellung Hier ist die Killbox Klicke bei der Killbox auf Delete on Reboot, danach Dateien nacheinander rein laden und auf das rote Kreuz drücken. Wenn du gefragt wirst „ Do you want to reboot?“ auf no, erst bei der letzten Datei auf yes drücken. |
Hallo, aber ich war doch im abgesicherten modus und dann habe ich mit HJT einen scann gemacht so dass diese ganzen Pfade (oder was das auch ist) angezeigt wird aber die einträge die ich fixen sollte kamen da einfach nicht ... was soll ich denn nun machen? und was soll ich wegen dem Dienst machen den ich nicht gefunden habe? ich verzweifel hier echt :( :( :( Schönen Gruß Jogy |
Zitat:
das war nur eine namentliche Verwechslung. Also wenn es den Dienst bei dir nicht gibt, kannst du ihn auch nicht beenden. Versuche das von Cidre noch abzuarbeiten Zitat:
Versuche die dateien die du löschen sollst mit der Einstellung zu finden: Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK" |
Hallo, danke erst mal für deine antwort ich habe das jetzt mal alles durchgeführt drei von den vier datein die ich löschen sollte exestierten nicht mehr und als ich einen neuen check mit HJT durchgeführt habe wurden auch nicht mehr die Pfande angezeigt die ich löschen sollte. Ich denke mal dass dann alles bereiningt ist oder? Ich habe hier noch mal eine HJT Log gemacht nachdem ich alles durchgeführt habe: Logfile of HijackThis v1.99.1 Scan saved at 14:05:25, on 06.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe E:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HijackThis\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115307856265 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E0D424FA-CFE0-40BA-A6DC-1C9D92EF3396}: NameServer = 192.168.2.1,168.192.2.1 O20 - AppInit_DLLs: MsgPlusLoader.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe soll ich nochmal einen check mit eScan im abgesicherten Modus machen? aber Neuaufsetzen muss ich doch auf keinen Fall oder? Schönen Gruß Jogy |
Zitat:
Es ist lediglich der verweiste Reg Key noch übrig und diesen solltest du fixen. Zitat:
Poste nochmal ein aktuelles Log-File aus dem abgesicherten Modus, damit man es gegenprüfen kann. EDIT: Das Log-File hast du zwischenzeitlich gepostet und es sieht sauber aus, also somit erledigt! Ein nochmaliger Scan mit eScan könnte imho nicht schaden. |
Hallo, ich habe dann jetzt noch mal hier ein logfile: Logfile of HijackThis v1.99.1 Scan saved at 17:06:47, on 06.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\HijackThis\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115307856265 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E0D424FA-CFE0-40BA-A6DC-1C9D92EF3396}: NameServer = 192.168.2.1,168.192.2.1 O20 - AppInit_DLLs: MsgPlusLoader.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe und hier ist die Log von eScan, aber mir ist was dummes passiert ich hatte vergessen mwav.log zu löschen und habe dann den scan gemacht und am Ende ist es mir dann erst aufgefallen aber anhand der Uhrzeiten habe ich die die Sachen gelöscht die von älteren scann's sind. ich hoffe ich habe nichts falsche gelöscht ansonsten muss ich nocheinmal scannen. :headbang: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri May 06 15:51:19 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Fri May 06 16:03:03 2005 => File C:\Programme\HijackThis\hijackthis_199\backups\backup-20050506-114144-337.dll infected by "not-a-virus:AdWare.SafeSurfing.e" Virus. Action Taken: No Action Taken. Fri May 06 16:42:41 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri May 06 16:35:42 2005 => File E:\Game Cd´s\NFSU\NFSU-Trainer130\NFSU-Trainer1.3.0.exe tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri May 06 16:42:41 2005 => Total Virus(es) Found: 2 Fri May 06 16:42:41 2005 => Total Errors: 2 Fri May 06 16:42:41 2005 => Time Elapsed: 02:05:19 Fri May 06 16:42:41 2005 => Total Objects Scanned: 82906 Fri May 06 14:32:52 2005 => Virus Database Date: 2005/05/05 Fri May 06 14:33:10 2005 => Virus Database Date: 2005/05/05 Fri May 06 14:36:27 2005 => Virus Database Date: 2005/05/05 Fri May 06 16:42:42 2005 => Virus Database Date: 2005/05/05 Fri May 06 16:42:54 2005 => Virus Database Date: 2005/05/05 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ ich wollte noch fragen ob ich dann "C:\Programme\HijackThis\hijackthis_199\backups\backup-20050506-114144-337.dll" und "E:\Game Cd´s\NFSU\NFSU-Trainer130\NFSU-Trainer1.3.0.exe" mit KillBox löscehn soll??????? und ich wollte fragen warum da noch "C:\Programme\AVPersonal\INFECTED\*.*" steht? ist das auch noch verseucht? Ich hoffe ich kriege das Problem heute noch in Griff ich habe echt keine Lust mehr aber eure Geduld ist echt spitze. Macht weiter so :aplaus: Schöne Grüße Jogy |
ich wäre euch sehr dankbar wenn ihr mir noch meine fragen beantworten würdet :daumenhoc denn ich weiß echt nicht was ich machen soll |
Log sieht sauber aus. Warum er diesen Ordner anzeigt:C:\Programme\AVPersonal\INFECTED\*.*,kann ich dir verraten.Die Batchdatei, de die Funde ausgibt, sucht nach dem Wort "infected", und das kommt halt in dem Dateinamen vor.Kein Grund zur Sorge. Den Backupordner von HJT kannst du löschen.Musst du aber nicht. Dasselbe gilt für den anderen Ordner. |
Nur Geduld... Zitat:
Zitat:
Ansonsten ist alles OK. Abschließend solltest du die Absicherungsmaßnahmen in meiner Signatur beherzigen. EDIT: Überschneidung! cronos ;) |
@ cidre Ich sehe das sportlich ;) . |
Hallo, ich bin euch total dankbar denn ihr habt mir richtig gut geholfen. Euch kann man wirklich nur weiterempfehlen :aplaus: :aplaus: :aplaus: echt spitze okay dann führe ich gleich noch die absicherung durch dann amcht mal weiter so schönen gruß Jogy |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board