|
Hilfe....mehrere Viren auf dem Rechner! Hallo! Heute nacht meldete Antivir folgende Funde: 12.08.2005,01:53:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.azk! C:\WINDOWS\SYSTEM32:SNAA.DLL 12.08.2005,01:53:18 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Age.bc.19.A! C:\WINDOWS\NETCV32.DLL 12.08.2005,01:53:19 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.bau! C:\DOKUME~1\PM5K\LOKALE~1\TEMP\6.TMP [INFO] Die Datei wurde überschrieben und gelöscht! 12.08.2005,02:00:28 [WARNUNG] Enthält Code des Windows-Virus W32/Nsag.B! C:\WINDOWS\SYSTEM32\OLEEXT32.DLL [INFO] Die Datei wurde überschrieben und gelöscht! Hier ist das aktuelle Log vom Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 10:48:54, on 12.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\NVATray.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\WinSweep\WSMonitor.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://index.meta-spinner.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/10d8157596af04b46119/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112702355589 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9F85EBB5-5519-41C4-A6D3-112203061680}: NameServer = 217.237.148.65 217.237.148.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ich hab dann eben noch den E-Scan laufen lassen, und der fand das hier::( Fri Aug 12 09:13:01 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Aug 12 09:13:31 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Aug 12 09:13:32 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Aug 12 09:14:05 2005 => Entry "HKCR\CLSID\{daa873d4-958c-453c-81ca-3fe6f3676a87}" refers to invalid object "C:\WINDOWS\System32\snaa.dll". Action Taken: No Action Taken. Fri Aug 12 09:14:05 2005 => Entry "HKCR\CLSID\{DADDCB07-8034-4541-88A1-0B15F05861CA}" refers to invalid object "C:\WINDOWS\System32\NCTRMFile.dll". Action Taken: No Action Taken. Fri Aug 12 09:19:24 2005 => File C:\WINDOWS\System32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. Fri Aug 12 09:22:25 2005 => File C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Data\psshutdown.exe tagged as not-a-virus:RiskTool.Win32.PsShutdown.232. No Action Taken. Fri Aug 12 09:25:34 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken. Fri Aug 12 09:38:20 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035879.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken. Fri Aug 12 09:38:20 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035880.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken. Fri Aug 12 09:38:23 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035893.exe tagged as "not-a-virus:AdWare.SaveNow.as". Action Taken: No Action Taken. Fri Aug 12 09:38:23 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035894.exe tagged as "not-a-virus:AdWare.SaveNow.bd". Action Taken: No Action Taken. Fri Aug 12 09:38:23 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035895.exe tagged as "not-a-virus:AdWare.SaveNow.az". Action Taken: No Action Taken. Fri Aug 12 09:38:24 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035908.exe tagged as "not-a-virus:AdWare.SaveNow.bi". Action Taken: No Action Taken. Fri Aug 12 09:38:30 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036040.dll tagged as "not-a-virus:AdWare.SaveNow.az". Action Taken: No Action Taken. Fri Aug 12 09:38:31 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036045.exe tagged as "not-a-virus:AdWare.SaveNow.bi". Action Taken: No Action Taken. Fri Aug 12 09:38:35 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036076.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken. Fri Aug 12 09:38:35 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036077.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken. Fri Aug 12 09:39:02 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0036614.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken. Fri Aug 12 09:39:04 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0036623.dll infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken. Fri Aug 12 09:39:04 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0036625.dll infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken. Fri Aug 12 09:39:07 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0037627.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. Fri Aug 12 09:39:07 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0037628.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. Fri Aug 12 09:53:58 2005 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. Fri Aug 12 10:11:46 2005 => File D:\System Volume Information\_restore{A0D5D8EB-9E58-4A4F-9555-C59512B7F106}\RP51\A0021685.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken. Eine Datei namens "intell32.exe" im Ordner Windows\System32 habe ich heute morgen auch schon gelöscht. Ad-Aware fand mehrere Einträge von PSGuard :confused: Ich hoffe, ihr könnt mir helfen... Viele Grüße Tankgirl |
Du hast ein veraltetes und unaktuelles System. Dringenst SP installieren und das System updaten. Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html Lade und update Ad-aware und Spybot und lasse die Programme laufen. http://www.comsafe.de/download.html Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ Danach die Datei mwav.log im Verzeichnis C:\bases_x löschen und einen neuen escan. Halte dich genau an die Anleitung. http://www.trojaner-board.de/showthread.php?t=17492 Sowie ein neues HJT-Log. |
Hi Felix! Wir haben Winsweep auf dem Rechner...reicht das aus, oder soll ich das Clearprog trotzdem runterladen? :confused: LG Tankgirl |
Mache wie Anleitung! |
Hallo Felix! Adaware und Spybot haben beide nichts gefunden. Die Löschung mit Clearprog habe ich durchgeführt. Hier ist das neue E-Scan-Log: Sat Aug 13 08:56:40 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Sat Aug 13 08:57:10 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken. Sat Aug 13 08:57:11 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken. Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{daa873d4-958c-453c-81ca-3fe6f3676a87}" refers to invalid object "C:\WINDOWS\System32\snaa.dll". Action Taken: No Action Taken. Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{DADDCB07-8034-4541-88A1-0B15F05861CA}" refers to invalid object "C:\WINDOWS\System32\NCTRMFile.dll". Action Taken: No Action Taken. Sat Aug 13 08:59:47 2005 => File C:\WINDOWS\System32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. Sat Aug 13 09:02:32 2005 => File C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Data\psshutdown.exe tagged as not-a-virus:RiskTool.Win32.PsShutdown.232. No Action Taken. Sat Aug 13 09:05:38 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken. Sat Aug 13 09:30:02 2005 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. Sat Aug 13 09:45:43 2005 => File D:\System Volume Information\_restore{A0D5D8EB-9E58-4A4F-9555-C59512B7F106}\RP51\A0021685.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken. Und hier das aktuelle HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 10:13:26, on 13.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\NVATray.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\WinSweep\WSMonitor.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://index.meta-spinner.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/10d8157596af04b46119/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112702355589 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9F85EBB5-5519-41C4-A6D3-112203061680}: NameServer = 217.237.148.65 217.237.148.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe LG Tankgirl |
Wo sind SP2 und die entsprechenden Updates? Lasse die Datei: C:\WINDOWS\System32\oleext.dll hier: http://virusscan.jotti.org/de/ prüfen. |
@ Felix schau hier Zitat:
|
@ Gigamail Ich will eigentlich nur sichergehen. Ich suche die anderen Dateien. http://www.greatis.com/appdata/d/_/_...xe_Removal.htm Oder ein Säuberungsversuch hat diese schon eleminiert und das sind nur noch Reste. |
@ Felix nach der beschreibung ist hier IMHO der Smitfraud am Werk, da reicht es wahrscheinlich nicht nur ein oder zwei dateien zu löschen, es gehöhren jede Menge dazu. Schau auch mal hier @ Tankgirl Du solltest unbedingt Dein System updaten versuche dich hier durchzuarbeiten und melde dich mit den Ergebnis von smitrem und einem neuen HJT Die gefundenen Dateien von eScan solltest du im abgesicherten modus bei deaktivierter Systemwiederherstellung löschen |
@Felix: Die anderen Dateien waren auch da..."intell32.exe" habe ich gelöscht, ein paar andere Dateien hatte mein Mann sofort gelöscht, nachdem dieses komische Desktop-Bild erschien und Ad-Aware hat auch viele Sachen namens "PSGuard" beseitigt (unter anderem auch die Dateien "wppp.html" und "uninstIU.exe"), es sind dann wohl wirklich "nur" noch die Reste... Zu den Windows-Updates: Unser Windows ist nicht "ganz legal"...kann ich die Updates denn einfach durchführen :confused: @Gigamail: Hier ist das Log von Smitrem: smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ oleext.dll ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) Nachdem ich nach dem DiskCleanup den PC wieder normal gestartet habe, war unsere gesamte Benutzeroberfläche anders und unser Desktop-Hintergrund blau. Außerdem startete der Antivir nicht automatisch, sondern ich musste ihn manuell aktivieren...woran lag das denn??? :( Diese E-Scan Funde habe ich gelöscht: Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{daa873d4-958c-453c-81ca-3fe6f3676a87}" refers to invalid object "C:\WINDOWS\System32\snaa.dll". Action Taken: No Action Taken. Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{DADDCB07-8034-4541-88A1-0B15F05861CA}" refers to invalid object "C:\WINDOWS\System32\NCTRMFile.dll". Action Taken: No Action Taken. Sat Aug 13 09:05:38 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken. oleext.dll wurde wohl von Smitrem gelöscht...zumindest ist sie nicht mehr da... Wie lösche ich denn die anderen Funde (den Dialer auf Laufwerk D) und die Funde ganz oben, die keinen Pfad haben (Altnet und WhenU)??? Hat PSShutdown etwas mit den Windows-Updates zu tun und braucht nicht gelöscht zu werden??? Hier ist noch mein aktuelles HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 15:49:30, on 13.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\NVATray.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\WinSweep\WSMonitor.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://index.meta-spinner.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/10d81575...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112702355589 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9F85EBB5-5519-41C4-A6D3-112203061680}: NameServer = 217.237.148.65 217.237.148.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe LG Tankgirl |
so, das Logfile sieht erst mal gut aus, abgesehen von SP2. Damit das Windows nicht ganz legal ist kann ich nur verurteilen :koch: Es gibt aber trotzdem die Möglichkeit die Cd zu bestellen http://www.microsoft.com/germany/win...dredirect.aspx obwohl...hier müsste ich eigentlich aufhören :( Zitat:
das mit dem Hintergrund ist normal, du kannst das nach dem Cleaner wieder einstellen und den Antivir versuche zu deinstallieren und danach wieder neu drauf bügeln. Zitat:
Den Dialer, sollte er noch auf dem System sein, kannst du zur Sicherheit auf Diskette speichern, wenn du nicht ausschliesslich mit DSL ins Netz gehst( zwecks Beweissicherung) Die Einträge Altnet kannst du vernachlässigen ich glaube fast mit WhenU verhällt sich das auch so. Wenn du willst kannst du den eScan nochmal im abgesicherten Modus durchlaufen lassen, du solltest vorher die alte Logdatei löschen. Es wird dann eine neue erstellt |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board