Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: VIRUS kommt nach löschen immer wieder

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.05.2008, 11:13   #1
timberlin
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



hallo,

folgendes ist passiert:
ich habe mir im internet einen virus eingefangen. jedesmal, wenn ich eine einzige bestimmte internetseite aufrufe (vorher nie probleme mit dieser seite gehabt), kommt ein virusalarm von antivir. der virus schreibt sich bei mozilla in die application data
(genauer pfad: c/benutzer/tim/appdata/local/mozilla/firefox/profiles/50rkqd5j.default/cache/DB410FF0d01 , letztes die von antivir gefundene datei)

das gleiche geschieht auch beim internet explorer (hier liegt er dann in den temporary internet files, pfad: c/benutzer/tim/appdata/local/microsoft/windows/temporary internet files/low/content.IE5/v9v6nqnx/index[1].htm)
ich habe ihn mit antivir gelöscht und auch schon in quarantäne verschoben.
ich habe spybot drüberlaufen lassen, desweiteren habe ich mit clear prog sämtliche tempöraren dateien und alles was mit inet explorer oder mozilla zusammenhängt gelöscht.
alles hilft nichts: bei jedem öffnen von mozilla oder inetexplorer auf dieser seite kommt die virusmeldung.
da es eine heur/html.malware ist, habe ich die möglichkeit in betracht gezogen, dass es sich um einen fehlalarm handeln könnte. dem ist aber nicht der fall.
ein weiteres gegenargument dafür ist außerdem, dass die dateien immer mehr werden, er müllt sich also langsam selber zu.
was mich noch unruhig macht ist, dass allmähliche dateien versteckt werden. zum beispiel sind word dateien auf meinem desktop mittlerweile versteckt, also transparent.

hier ist noch die HijackThis scan datei:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:06:41, on 25.05.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Eraser\Eraser.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8851 bytes

ich bin mit meinem latein am ende und krieg langsam angst:S
ich würd mich wirklich freuen, wenn sich jmd. findet der mir einen tipp geben kann. hab mich im inet informiert und die genannten aktionen ausgeführt aber iwie hilft es rein gar nix...
HILFE

Alt 25.05.2008, 11:31   #2
myrtille
/// TB-Ausbilder
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



Hi.
Schick mir bitte mal den Link zu der entsprechenden Seite per PM.

Dein Log ist eigentlich sauber, folgende Einträge können gefixt werden:
Zitat:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
Hast du die Pokerprogramme selbst installiert, nutzt du sie?

Du hast außerdem noch Reste von Symantec aufm Rechner:
Zitat:
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
Wenn du keine anderen Norton/Symantecprodukte nutzt, würde ich dir empfehlen die Reste mit dem Removaltool zu entfernen.

lg myrtille
__________________

__________________

Alt 25.05.2008, 13:04   #3
timberlin
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



hallo,

schonmal danke für die antwort, hab die entsprechenden sachen gelöscht..
ja die poker programme habe ich selber installiert..party poker nutze ich nciht mehr, aber poker stars schon..is das in ordnung:S?
die internetseite ist: ****
__________________

Geändert von Sunny (25.05.2008 um 15:54 Uhr) Grund: schädlicher Link entfernt!

Alt 25.05.2008, 14:42   #4
raman
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



Nimm mal den Link aus deinem Posting. Nicht das noch jemand ueber das dort eingeschleuste Exploit infiziert wird!
__________________
MfG Ralf

Alt 25.05.2008, 15:43   #5
myrtille
/// TB-Ausbilder
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



Hi,
die PartyPokersachen kommen häufig ungefragt auf den Rechner, deswegen fragte ich.
An sich sind sie nicht gefährlich.

Raman war so freundlich die genannte Webseite zu überprüfen und die Seite ist in der Tat infiziert.
Ich würde dich daher bitte mir einen DSS-Log (bitte daran denken, die Links zu editieren. )zu posten um zu schauen, ob du infiziert wurdest.

DSS
  • Lade dir DSS
  • Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
  • Führe während DSS arbeitet bitte keine anderen Aktionen durch
  • Am Ende öffnen sich 2 Datein main.txt und extra.txt
  • Poste den Inhalt beider Dateien hier
Danach sehen wir weiter.
lg myrtille

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 25.05.2008, 18:00   #6
timberlin
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



hallo,

sorry wegen dem link...

nach der dss prüfung:

extra.txt:
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft® Windows Vista™ Home Premium (build 6000)
Architecture: X86; Language: German

CPU 0: Genuine Intel(R) CPU T2060 @ 1.60GHz
Percentage of Memory in Use: 64%
Physical Memory (total/avail): 1013.44 MiB / 356.67 MiB
Pagefile Memory (total/avail): 2277.89 MiB / 1319.8 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1932.28 MiB

C: is Fixed (NTFS) - 74.22 GiB total, 45.9 GiB free.
E: is Fixed (NTFS) - 73.36 GiB total, 65.11 GiB free.
F: is CDROM (UDF)

\\.\PHYSICALDRIVE0 - FUJITSU MHV2160BT PL ATA Device - 149.05 GiB - 3 partitions
\PARTITION0 - Unknown - 1500 MiB
\PARTITION1 (bootable) - Installierbares Dateisystem - 74.22 GiB - C:
\PARTITION2 - Installierbares Dateisystem - 73.36 GiB - E:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is enabled.

AV: Avira AntiVir PersonalEdition v8.0.1.15 (Avira GmbH)
AS: Avira AntiVir PersonalEdition v 7.0.3.158
(Avira GmbH)
AS: Spybot - Search and Destroy v1.0.0.5 (Safer Networking Ltd.) Outdated
AS: Windows-Defender v1.1.1505.0 (Microsoft Corporation)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\Tim\AppData\Roaming
CLASSPATH=.;C:\Program Files\Java\jre1.6.0\lib\ext\QTJava.zip
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=TIM-PC
ComSpec=C:\Windows\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Users\Tim
LOCALAPPDATA=C:\Users\Tim\AppData\Local
LOGONSERVER=\\TIM-PC
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\Common Files\Ulead Systems\MPEG;C:\Program Files\QuickTime\QTSystem\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 14 Stepping 12, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0e0c
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
PROMPT=$P$G
PUBLIC=C:\Users\Public
QTJAVA=C:\Program Files\Java\jre1.6.0\lib\ext\QTJava.zip
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\Tim\AppData\Local\Temp
TMP=C:\Users\Tim\AppData\Local\Temp
USERDOMAIN=Tim-PC
USERNAME=Tim
USERPROFILE=C:\Users\Tim
windir=C:\Windows


-- User Profiles ---------------------------------------------------------------

Tim


-- Add/Remove Programs ---------------------------------------------------------

--> "C:\Program Files\InstallShield Installation Information\{A644254B-92F6-4970-8635-AB0775371E72}\setup.exe" --u:{A644254B-92F6-4970-8635-AB0775371E72}
--> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{622E6F16-0904-49B6-BBE1-4CC836314CCF}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{697AFC77-F318-4CD4-BF16-F50F4C1072DA}\setup.exe" -l0x7
ABC Amber Audio Converter --> C:\PROGRA~1\ABCAMB~1\UNWISE.EXE C:\PROGRA~1\ABCAMB~1\INSTALL.LOG
Adobe Flash Player ActiveX --> C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
Atheros-Treiberinstallationsprogramm --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\Setup.exe" -l0x7 -removeonly
Avira AntiVir Personal – Free Antivirus --> C:\Program Files\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Bluetooth Stack for Windows by Toshiba --> MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
CD/DVD Drive Acoustic Silencer --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}\setup.exe" -l0x7
ClearProg 1.4.2 Beta 13 --> C:\Program Files\ClearProg\Uninstall.exe
Disc2Phone --> MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
DVD MovieFactory for TOSHIBA --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F214EAA4-A069-4BAF-9DA4-4DB8BEEDE485}\setup.exe" -l0x7
Eraser --> "C:\ProgramData\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe" REMOVE=TRUE MODIFY=FALSE
Eraser --> C:\ProgramData\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe
Free WMA to MP3 Converter 1.08 --> "C:\Program Files\Free WMA to MP3 Converter\unins000.exe"
Free YouTube to Mp3 Converter version 2.5 --> "C:\Program Files\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe"
FUSSBALL MANAGER 2002 --> C:\Windows\unin0407.exe -f"e:\tim\games\fm 02\DeIsL1.isu"
Google Earth --> MsiExec.exe /I{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}
HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Intel(R) Graphics Media Accelerator Driver --> C:\Windows\system32\igxpun.exe -uninstall
IrfanView (remove only) --> C:\Program Files\IrfanView\iv_uninstall.exe
iTunes --> MsiExec.exe /I{80FD852F-5AAC-4129-B931-06AAFFA43138}
Java(TM) SE Runtime Environment 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}
LiveUpdate 3.2 (Symantec Corporation) --> "C:\Program Files\Symantec\LiveUpdate\LSETUP.EXE" /U
Messenger Plus! Live --> "C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 1.1 --> msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1 --> MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1 Hotfix (KB929729) --> "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
Microsoft Flight Simulator 2004 - Das Jahrhundert der Luftfahrt --> "C:\Program Files\Microsoft Games\Flight Simulator 9\UNINSTAL.EXE" /runtemp /addremove
Microsoft Office Access MUI (German) 2007 --> MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007 --> MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007 --> MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007 --> MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007 --> MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007 --> "C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUSR /dll OSETUP.DLL
Microsoft Office Professional Plus 2007 --> MsiExec.exe /X{91120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007 --> MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007 --> MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007 --> MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007 --> MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007 --> MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (2.0.0.14) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978) --> MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181) --> MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833) --> MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
NVIDIA Drivers --> C:\Windows\system32\NVUNINST.EXE UninstallGUI
OpenOffice.org 2.2 --> MsiExec.exe /I{E4C7B3EF-B3DB-4BB6-A812-E8FAE47534D3}
PokerStars --> "C:\Program Files\PokerStars\PokerStarsUninstall.exe" /u:PokerStars
QuickTime --> MsiExec.exe /I{BFD96B89-B769-4CD6-B11E-E79FFD46F067}
Realtek High Definition Audio Driver --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly
Security Update for Excel 2007 (KB946974) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {85E83E2E-AF9B-439B-B4F9-EB9B7EF6A00E}
Security Update for Microsoft Office Publisher 2007 (KB950114) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {F9C3CDBA-1F00-4D4D-959D-75C9D3ACDD85}
Security Update for Microsoft Office system 2007 (KB951808) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {8F375E11-4FD6-4B89-9E2B-A76D48B51E00}
Security Update for Microsoft Office Word 2007 (KB950113) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {AD72BABE-C733-4FCF-9674-4314466191B9}
Security Update for Office 2007 (KB947801) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {02B5A17B-01BE-4BA6-95F1-1CBB46EBC76E}
Security Update for Outlook 2007 (KB946983) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {66B9496E-C0C3-4065-9868-85CCA92126C3}
Security Update for Visio 2007 (KB947590) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {6BAD036C-261F-4BEF-96CF-C20678D07A41}
Skype™ 3.5 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Spybot - Search & Destroy --> "C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Synaptics Pointing Device Driver --> rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Texas Instruments PCIxx21/x515/xx12 drivers. --> C:\Program Files\InstallShield Installation Information\{F7B05784-334C-4F76-8BAB-30ABEB7FD534}\setup.exe -runfromtemp -l0x0407
TOSHIBA Assist --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{12B3A009-A080-4619-9A2A-C6DB151D8D67}\setup.exe" -l0x7
TOSHIBA Benutzerhandbücher --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CD90E059-509B-4AEB-8ADA-E9A6C7645671}\setup.exe" -l0x7 -removeonly
TOSHIBA ConfigFree --> C:\Program Files\InstallShield Installation Information\{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}\setup.exe -runfromtemp -l0x0007uninstall -removeonly
TOSHIBA Disc Creator --> MsiExec.exe /I{5DA0E02F-970B-424B-BF41-513A5018E4C0}
TOSHIBA Extended Tiles for Windows Mobility Center --> C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1150\INTEL3~1\IDriver.exe /M{617C36FD-0CBE-4600-84B2-441CEB12FADF} /l1031
TOSHIBA Hardware Setup --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B77A308F-85F5-4D68-8CB5-313332CB2779}\setup.exe" -l0x7
Toshiba Online Product Information --> C:\Program Files\InstallShield Installation Information\{2290A680-4083-410A-ADCC-7092C67FC052}\setup.exe -runfromtemp -l0x0007 -removeonly
TOSHIBA SD Memory Utilities --> MsiExec.exe /X{EBFF48F5-3CFA-436F-8FD5-94FB01D3A0A7}
TOSHIBA Software Modem --> Tosmreg -U
TOSHIBA Supervisor Password --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{74892A2F-57B2-48E4-81C3-1E21E12A470B}\setup.exe" -l0x7
TOSHIBA Value Added Package --> C:\Program Files\InstallShield Installation Information\{FEDD27A0-B306-45EF-BF58-B527406B42C8}\setup.exe -runfromtemp -l0x0407
Uninstall 1.0.0.0 --> "C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Update for Office 2007 (KB946691) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278}
Update for Outlook 2007 Junk Email Filter (kb950378) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {F6296086-AED5-4EC0-938B-08EA0254F20E}
Windows Live Anmelde-Assistent --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer --> MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger --> MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Encoder 9-Reihe --> msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Encoder 9-Reihe --> MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
WinDVD for TOSHIBA --> C:\Program Files\InstallShield Installation Information\{20471B27-D702-4FE8-8DEC-0702CC8C0A85}\setup.exe -runfromtemp -l0x0407
WinRAR --> C:\Program Files\WinRAR\uninstall.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type41087 / Warning
Event Submitted/Written: 05/25/2008 06:50:30 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HIDDENEXT/CryptedC:\Program Files\Trend Micro\HijackThis\pruefung1.com.exe

Event Record #/Type41085 / Warning
Event Submitted/Written: 05/25/2008 06:50:29 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HIDDENEXT/CryptedC:\Program Files\Trend Micro\HijackThis\pruefung1.com.exe

Event Record #/Type41084 / Warning
Event Submitted/Written: 05/25/2008 06:50:02 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HIDDENEXT/CryptedC:\Program Files\Trend Micro\HijackThis\pruefung1.com.exe

Event Record #/Type41083 / Warning
Event Submitted/Written: 05/25/2008 06:49:50 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HIDDENEXT/CryptedC:\Program Files\Trend Micro\HijackThis\pruefung1.com.exe

Event Record #/Type41082 / Warning
Event Submitted/Written: 05/25/2008 06:49:05 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
HIDDENEXT/CryptedC:\Program Files\Trend Micro\HijackThis\pruefung1.com.exe



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type106994 / Error
Event Submitted/Written: 05/25/2008 06:39:10 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Tosrfcom

Event Record #/Type106957 / Error
Event Submitted/Written: 05/25/2008 06:39:08 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Parallel port driver%%1058

Event Record #/Type106913 / Warning
Event Submitted/Written: 05/25/2008 06:38:29 PM
Event ID/Source: 4 / E100B
Event Description:
Adapter Intel(R) PRO/100 VE-Netzwerkverbindung: Adapterverbindung ist getrennt.

Event Record #/Type106905 / Warning
Event Submitted/Written: 05/25/2008 03:58:39 PM
Event ID/Source: 4001 / Microsoft-Windows-WLAN-AutoConfig
Event Description:


Event Record #/Type106898 / Error
Event Submitted/Written: 05/25/2008 03:58:25 PM
Event ID/Source: 10010 / DCOM
Event Description:
{C2BFE331-6739-4270-86C9-493D9A04CD38}



-- End of Deckard's System Scanner: finished at 2008-05-25 18:53:19 ------------

Alt 25.05.2008, 18:02   #7
timberlin
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



und die main.txt:

Deckard's System Scanner v20071014.68
Run by Tim on 2008-05-25 18:47:26
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- Last 5 Restore Point(s) --
6: 2008-05-25 13:43:33 UTC - RP335 - Geplanter Prüfpunkt
5: 2008-05-24 15:25:10 UTC - RP334 - Geplanter Prüfpunkt
4: 2008-05-23 11:00:08 UTC - RP333 - Windows Update
3: 2008-05-22 17:33:49 UTC - RP332 - Removed Safari
2: 2008-05-22 17:31:32 UTC - RP331 - Removed Google Toolbar for Internet Explorer


-- First Restore Point --
1: 2008-05-22 17:29:30 UTC - RP330 - Configured AVerTV USB 2.0 Driver


Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 1014 MiB (1024 MiB recommended).


-- HijackThis (run as Tim.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2


[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]



-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

S3 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\program files\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 Apple Mobile Device - "c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 CFSvcs (ConfigFree Service) - c:\program files\toshiba\configfree\cfsvcs.exe <Not Verified; TOSHIBA CORPORATION; ConfigFree(TM)>
R2 TODDSrv (TOSHIBA Optical Disc Drive Service) - c:\windows\system32\toddsrv.exe <Not Verified; TOSHIBA Corporation; TDCSrv Application>
R2 TOSHIBA Bluetooth Service - c:\program files\toshiba\bluetooth toshiba stack\tosbtsrv.exe <Not Verified; TOSHIBA CORPORATION; Bluetooth Stack for Windows by TOSHIBA>

S2 CLTNetCnService (Symantec Lic NetConnect service) - "c:\program files\common files\symantec shared\ccsvchst.exe" /h cccommon (file missing)


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-05-25 18:50:16 414 --ah---c- C:\Windows\Tasks\User_Feed_Synchronization-{D9B30BB4-63C0-47D4-A444-A174F9308500}.job


-- Files created between 2008-04-25 and 2008-05-25 -----------------------------

2008-05-25 11:34:14 0 d------c- C:\Program Files\Trend Micro
2008-05-24 15:52:53 0 d------c- C:\Program Files\ClearProg
2008-05-21 21:00:39 0 d--h---c- C:\Users\All Users\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}
2008-05-21 21:00:35 0 d------c- C:\Program Files\Eraser
2008-04-29 23:57:42 0 d------c- C:\DVDVideoSoft
2008-04-29 23:56:56 0 d------c- C:\Program Files\Common Files\DVDVideoSoft
2008-04-29 23:56:51 0 d------c- C:\Program Files\DVDVideoSoft


-- Find3M Report ---------------------------------------------------------------

2008-05-25 13:23:29 0 d------c- C:\Program Files\Microsoft Games
2008-05-25 10:33:12 0 d------c- C:\Program Files\PokerStars
2008-05-24 19:41:42 0 d------c- C:\Users\Tim\AppData\Roaming\Skype
2008-05-23 12:52:25 0 d------c- C:\Program Files\Google
2008-05-22 20:01:11 0 d------c- C:\Users\Tim\AppData\Roaming\Talkback
2008-05-22 20:00:54 0 d------c- C:\Users\Tim\AppData\Roaming\Mozilla
2008-05-22 19:30:30 0 d--h---c- C:\Program Files\InstallShield Installation Information
2008-05-22 16:06:01 0 d------c- C:\Program Files\Free WMA to MP3 Converter
2008-05-21 23:27:46 0 d------c- C:\Program Files\Messenger Plus! Live
2008-05-21 18:34:37 0 d------c- C:\Users\Tim\AppData\Roaming\Audacity
2008-05-21 18:34:26 0 d------c- C:\Program Files\OpenOffice.org 2.2
2008-05-21 18:34:26 0 d------c- C:\Program Files\ABC Amber Audio Converter
2008-05-20 19:02:49 0 d--h---c- C:\Users\Tim\AppData\Roaming\Download Manager
2008-05-18 19:46:43 651350 --a----c- C:\Windows\system32\perfh007.dat
2008-05-18 19:46:43 121114 --a----c- C:\Windows\system32\perfc007.dat
2008-05-15 15:34:09 0 d------c- C:\Users\Tim\AppData\Roaming\OpenOffice.org2
2008-05-15 10:09:30 0 d------c- C:\Program Files\Windows Mail
2008-04-29 23:56:56 0 d------c- C:\Program Files\Common Files
2008-04-18 19:43:03 0 d------c- C:\Program Files\IrfanView
2008-04-13 17:25:42 0 d------c- C:\Program Files\Microsoft Works
2008-04-13 17:25:08 0 d------c- C:\Program Files\MSBuild
2008-04-13 17:22:39 0 d------c- C:\Program Files\Microsoft.NET
2008-04-13 17:16:07 0 d------c- C:\Program Files\Microsoft Visual Studio 8
2008-03-28 13:22:56 0 d--h---c- C:\Users\Tim\AppData\Roaming\Apple Computer
2008-03-28 12:16:12 0 d------c- C:\Program Files\iTunesHelper.Resources
2008-03-28 12:16:12 0 d------c- C:\Program Files\iTunes.Resources
2008-03-28 12:16:01 0 d------c- C:\Program Files\Mozilla Plugins
2008-03-28 12:16:01 0 d------c- C:\Program Files\iPod
2008-03-28 12:16:01 0 d------c- C:\Program Files\CD Configuration
2008-03-28 12:15:57 0 d------c- C:\Program Files\iTunesMiniPlayer.Resources
2008-03-28 12:14:09 0 d------c- C:\Program Files\QuickTime
2008-03-26 15:21:50 0 d--hs--c- C:\Program Files\Common Files\WindowsLiveInstaller
2008-03-26 15:21:06 0 d------c- C:\Program Files\Windows Live


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [16.04.2007 00:33]
"TPwrMain"="C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE" [14.12.2006 20:07]
"HSON"="C:\Program Files\TOSHIBA\TBS\HSON.exe" [07.12.2006 17:49]
"SmoothView"="C:\Program Files\Toshiba\SmoothView\SmoothView.exe" [14.12.2006 20:09]
"00TCrdMain"="C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [11.12.2006 18:27]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [07.12.2006 21:25]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [07.12.2006 21:25]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [07.12.2006 21:25]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [27.10.2006 14:50]
"RtHDVCpl"="RtHDVCpl.exe" [07.11.2006 15:50 C:\Windows\RtHDVCpl.exe]
"NDSTray.exe"="NDSTray.exe" []
"topi"="C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe" [15.12.2006 18:11]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [14.04.2008 21:23]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [13.09.2007 15:38]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [13.09.2007 15:38]
"Persistence"="C:\Windows\system32\igfxpers.exe" [13.09.2007 15:38]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [01.02.2008 00:13]
"iTunesHelper"="C:\Program Files\iTunesHelper.exe" [19.02.2008 14:10]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [09.01.2008 20:35]
"TOSCDSPD"="TOSCDSPD.EXE" []
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [02.11.2006 14:35]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" []
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 12:43]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [02.11.2006 14:36]
"Eraser"="C:\Program Files\Eraser\Eraser.exe" [23.12.2007 01:03]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"=2 (0x2)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]
@="IEEE 1394 Bus host controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]
@="SBP2 IEEE 1394 Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]
@="SecurityDevices"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalSystemNetworkRestricted hidserv UxSms WdiSystemHost Netman trkwks AudioEndpointBuilder WUDFSvc irmon sysmain IPBusEnum dot3svc PcaSvc EMDMgmt TabletInputService wlansvc WPDBusEnum


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fe42e97-b20b-11db-9b51-806e6f6e6963}]
AutoRun\command- F:\setup.EXE /autorun
dxsetup\command- F:\directx\dxsetup.exe
setup\command- F:\setup.exe
Web\command- F:\extras\runshell.exe http://www.microsoft.com/games/flightsimulator


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
C:\Windows\system32\unregmp2.exe /ShowWMP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
%SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI



-- Hosts -----------------------------------------------------------------------
Code:
ATTFilter
127.0.0.1	w*w.supercocklol.com
127.0.0.1	w*w.webloyalty.com
127.0.0.1	w*w.guard.com
127.0.0.1	w*w.007guard.com
127.0.0.1w*w.008i.com
127.0.0.1	w*w.008k.com
127.0.0.1	w*w.008k.com
127.0.0.1	w*w.00hq.com
127.0.0.1	w*w.00hq.com
127.0.0.1	w*w.010402.com
         
8118 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-05-25 18:53:19 ------------

is ja ziemlich viel..:S
danke fürs durchgucken..ich kann damit gar nix anfangen

Geändert von timberlin (25.05.2008 um 18:26 Uhr)

Alt 25.05.2008, 18:10   #8
myrtille
/// TB-Ausbilder
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



Hi,

bitte die Links editieren!
Insbesonder die folgenden:
Code:
ATTFilter
127.0.0.1 .supercocklol.com
127.0.0.1 www..webloyalty.com
127.0.0.1 007guard.com
127.0.0.1 www.007guard.com
127.0.0.1 008i.com
127.0.0.1 008k.com
127.0.0.1 www.008k.com
127.0.0.1 00hq.com
127.0.0.1 www.00hq.com
127.0.0.1 010402.com
         
Das sind aktive Links zu Seiten mit bösartigem Inhalt! Genau deswegen schrieb ich vorhin Bitte links editieren
Der nächste der deinen Thread aufruft und ausversehen an die falsche Stelle klickt, wird sich bedanken.

Bitte die Links im Hijackthislog auch editieren.

lg myrtille

EDIT Sunny war schneller
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 25.05.2008, 18:25   #9
myrtille
/// TB-Ausbilder
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



Hi,
also das Log ist sauber, ich würd vermuten, dass du nicht infiziert bist.

Die "restlichen" Symptome versteh ich noch nicht so ganz:
Zitat:
ein weiteres gegenargument dafür ist außerdem, dass die dateien immer mehr werden, er müllt sich also langsam selber zu.
Wo erstellt er die Dateien? Unter
Code:
ATTFilter
c/benutzer/tim/appdata/local/mozilla/firefox/profiles/50rkqd5j.default/cache
         
?
Da wäre es ganz normal. Wenn sonst noch Dateien erstellt werden, bitte die Ordner nennen.
Zitat:
was mich noch unruhig macht ist, dass allmähliche dateien versteckt werden. zum beispiel sind word dateien auf meinem desktop mittlerweile versteckt, also transparent.
Was passiert denn, wenn du der Datei das "versteckt"-attribut
wieder nimmst? (Rechtsklick->Eigenschaften->Attribute->bei Versteckt den Haken rausnehmen)

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 25.05.2008, 18:33   #10
timberlin
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



hi,

wie das log is sauber?du mientest doch eben, das das inet seiten sind, die gefährlich sind?!
genau dort erstellt er die dateien ja und bei jedem klick auf eine seite, kommen neue dazu..außerdem wie gesagt beim inet explorer genau das gleiche in den temporary internet files..
du bist also der meinung, dass es ganz normal ist, wenn da solche dateien reingeschrieben werden?
dann versteh ich aber nciht, warum jedesmal ne virusmeldung kommt:S?

zu den versteckten dateien:
die waren nie versteckt, sind es jetzt aber aufeinmal gewesen..ich habe sie wieder sichtbar gemacht..
ich habe nur gedacht, dass das was mit dem virus zu tun haben könnte, da sie wie gesagt vorher alle nicht versteckt waren..

p.s.: wusste nich was editieren genau bedeutet, jetzt habe ich es verstanden..danke

Alt 25.05.2008, 19:09   #11
myrtille
/// TB-Ausbilder
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



Hi,
das waren 2 unterschiedliche Sachen. Eigentlich sogar 3

Zitat:
du bist also der meinung, dass es ganz normal ist, wenn da solche dateien reingeschrieben werden?
Jein.
Eigentlich Ja:
Bei jedem Besuch einer Webpage passiert auf deinem Rechner folgendes:
Jede Webseite besteht aus Text, Bildern und weiteren Elementen. Damit du dir diese Elemente anschauen kannst müssen die auf deinen Rechner heruntergeladen werden um sozusagen von deinem Broswer interpretiert und angezeigt werden zu können.
Das ist vollkommen normal.
Du kannst in deinem Browser einstellen wievieler solcher Dateien du speichern möchtest.

Aber in diesem speziellen Fall NEIN
Was jetzt auf der Handballseite passiert ist, ist etwas anderes:
Die Seite ist normalerweise sauber, das heißt eigentlich kommen nur die Bilder auf deinem Rechner. Derzeit ist die Seite allerdings gefährlich: Sie lädt dir weitere Dateien, die nichts mit der Seite zu tun haben, auf deinen Rechner.
Das wird sich hoffentlich bald wieder ändern.
Zitat:
dann versteh ich aber nciht, warum jedesmal ne virusmeldung kommt
Die Meldung kommt wegen der zusätzlich heruntergeladenen Datei, also einer speziellen Datei. Nicht wegen der Tatsache, dass Dateien heruntergeladen werden.


Zitat:
wie das log is sauber?du mientest doch eben, das das inet seiten sind, die gefährlich sind?!
Dann ging es um folgende Einträge:
Code:
ATTFilter
127.0.0.1 00hq.com
         
Das sind Einträge die eines deiner Schutzprogramme gemacht, sodass DU nicht mehr auf die Seite gelangen kannst.
Diese Art von Webseite ist "immer" böse, auch diese Seiten wollen Malware auf deinem Rechner installieren.
Dein Log ist also sauber, weil in ihm keine Einträge sind, die von bösartigen Dateien erstellt wurden.

Allerdings habe ich (und viele andere) diese schützenden Einträge wie du sie hast nicht und gelange wenn ich auf den Link klicke auf die "gefährliche" Seite auf der dann etwas auf meinem Rechner installiert wird.
Deswegen wollte ich nicht, dass die Links so stehen bleiben.
War das soweit verständlich?

@versteckte Dateien:
sowas passiert gelegentlich auch wenn bei Cleanern etwas schiefgeht. Daher fragte ich.
Wenn es nicht wieder passiert, würde ich mir keine Sorgen machen.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 25.05.2008, 22:30   #12
timberlin
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



hi,

also danke erstmal für diese aufschlussreichen erklärungen...
jetzt bleibt mir eigentlich nur ncoh zu fragen, was ich deiner meinung nach machen soll in zukunft:S?
diese dateien sind böse und vervielfältigen sich..wie krieg ich das gestoppt?

lg tim

Alt 25.05.2008, 23:08   #13
myrtille
/// TB-Ausbilder
 
VIRUS kommt nach löschen immer wieder - Standard

VIRUS kommt nach löschen immer wieder



Zitat:
diese dateien sind böse und vervielfältigen sich..wie krieg ich das gestoppt?
Welche Dateien?
Du hast zur Zeit keine bösartigen Dateien auf deinem Rechner, sondern nur Stücke von Webseiten, die dein Browser braucht, um die Seite darzustellen.

Die Malware versucht übrigens sich über eine (alte) Schwachstelle im InternetExplorer zu installieren, wenn du also mit dem Firefox unterwegs bist, bist du auf jedenfall sicher.

Wenn du mit Firefox alle Dateien im Cache-Ordner löschen willst, kannst du das unter Extras->Einstellungen->Datenschutz->Private Daten löschen
tun. Dort kannst du unter "Einstellungen" wählen, welche Arten von Dateien gelöscht werden sollen (Cache sind die Dateien, von denen wir bisher geredet haben) und du kannst dort auch entscheiden, ob du willst, dass die Dateien jedes Mal gelöscht werden, wenn du den Firefox schließt.

Zitat:
jetzt bleibt mir eigentlich nur ncoh zu fragen, was ich deiner meinung nach machen soll in zukunft:S?
Du kannst und musst vorerst eigentlich nichts tun.
Die einzigen die jetzt etwas tun können, sind die Leute von der Handballseite, die dafür sorgen müssen, das nicht weiter versucht wird solche Malware zu installieren.

Im Endeffekt hast du alles richtig gemacht und brauchst an deinem Verhalten nichts zu ändern.
Du surfst mit einem alternativen Broswer, das heißt Viren, die versuchen Schwachstellen im IE auszunutzen, können dir nichts tun.
Du hast ein Antivirenpogramm, dass dich bei solchen Zwischenfällen warnt und du nimmst die Warnung auch Ernst.
Du hast hier angefragt, anstatt die Meldung als Fehler abzutun, sodass wir die Forenbesitzer warnen konnten.

Dank deiner Mithilfe wird es bald eine Seite weniger geben, die unwissentlich Malware vertreibt
lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu VIRUS kommt nach löschen immer wieder
adobe, agere systems, application, aufrufe, avg, avira, bho, dateien versteckt, defender, desktop, dll, ebay, eraser, explorer, fehlalarm, handel, hijack, hijackthis, hängt, immer wieder, internet, internet explorer, langsam, mozilla, quara, rundll, safer networking, saver, scan, security, security center, software, symantec, system, uleadburninghelper, virus, vista, windows defender, windows sidebar



Ähnliche Themen: VIRUS kommt nach löschen immer wieder


  1. Mailwarebytes hat Trojan.DNSChanger entdeckt. Kommt nach Neustart immer wieder
    Plagegeister aller Art und deren Bekämpfung - 03.02.2015 (9)
  2. Plagegeist kommt nach PC neuaufsetzung immer wieder
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (14)
  3. Polizei Virus kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 25.05.2013 (15)
  4. Mein Pc ist von einem "TR/Sirefef.BV.2" Virus befallen. Kommt immer wieder auch nach Löschen!
    Log-Analyse und Auswertung - 27.02.2012 (3)
  5. Gema Virus kommt immer wieder...
    Log-Analyse und Auswertung - 27.02.2012 (7)
  6. AV Security Suite nach Anleitung entfernt, kommt bei Neustart immer wieder
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (2)
  7. Trojaner.Agent.AOFE kommt nach dem löschen immer wieder Windows 7 Ultimate x64
    Alles rund um Windows - 22.06.2010 (3)
  8. Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder
    Log-Analyse und Auswertung - 12.04.2010 (39)
  9. [Hilfe]Tronajer kommt nach neustart immer wieder!
    Log-Analyse und Auswertung - 15.04.2009 (0)
  10. Trojaner kommt nach PC strart immer wieder!
    Log-Analyse und Auswertung - 09.04.2009 (4)
  11. Virus kommt immer wieder !
    Plagegeister aller Art und deren Bekämpfung - 18.01.2009 (1)
  12. Virus kommt immer wieder!! Hilfe!
    Mülltonne - 14.11.2008 (0)
  13. virus verursacht grafikprobleme und kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 08.09.2008 (1)
  14. NOAdware meldet Trojaner.Skintrim kommt nach Neustart immer wieder
    Log-Analyse und Auswertung - 30.08.2007 (1)
  15. spybot benutzt, SexList kommt nach löschen wieder
    Log-Analyse und Auswertung - 24.05.2007 (3)
  16. virus kommt immer wieder zurück
    Plagegeister aller Art und deren Bekämpfung - 04.04.2005 (15)
  17. about:blank, der auch nach dem Löschen immer wieder kommt
    Log-Analyse und Auswertung - 31.08.2004 (5)

Zum Thema VIRUS kommt nach löschen immer wieder - hallo, folgendes ist passiert: ich habe mir im internet einen virus eingefangen. jedesmal, wenn ich eine einzige bestimmte internetseite aufrufe (vorher nie probleme mit dieser seite gehabt), kommt ein virusalarm - VIRUS kommt nach löschen immer wieder...
Archiv
Du betrachtest: VIRUS kommt nach löschen immer wieder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.