Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hilfe....mehrere Viren auf dem Rechner!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.08.2005, 10:46   #1
Tankgirl
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



Hallo!

Heute nacht meldete Antivir folgende Funde:

12.08.2005,01:53:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.azk!
C:\WINDOWS\SYSTEM32:SNAA.DLL
12.08.2005,01:53:18 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Age.bc.19.A!
C:\WINDOWS\NETCV32.DLL
12.08.2005,01:53:19 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.bau!
C:\DOKUME~1\PM5K\LOKALE~1\TEMP\6.TMP
[INFO] Die Datei wurde überschrieben und gelöscht!
12.08.2005,02:00:28 [WARNUNG] Enthält Code des Windows-Virus W32/Nsag.B!
C:\WINDOWS\SYSTEM32\OLEEXT32.DLL
[INFO] Die Datei wurde überschrieben und gelöscht!



Hier ist das aktuelle Log vom Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 10:48:54, on 12.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\NVATray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://index.meta-spinner.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/10d8157596af04b46119/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112702355589
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F85EBB5-5519-41C4-A6D3-112203061680}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Ich hab dann eben noch den E-Scan laufen lassen, und der fand das hier:

Fri Aug 12 09:13:01 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Aug 12 09:13:31 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Aug 12 09:13:32 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken.
Fri Aug 12 09:14:05 2005 => Entry "HKCR\CLSID\{daa873d4-958c-453c-81ca-3fe6f3676a87}" refers to invalid object "C:\WINDOWS\System32\snaa.dll". Action Taken: No Action Taken.
Fri Aug 12 09:14:05 2005 => Entry "HKCR\CLSID\{DADDCB07-8034-4541-88A1-0B15F05861CA}" refers to invalid object "C:\WINDOWS\System32\NCTRMFile.dll". Action Taken: No Action Taken.
Fri Aug 12 09:19:24 2005 => File C:\WINDOWS\System32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:22:25 2005 => File C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Data\psshutdown.exe tagged as not-a-virus:RiskTool.Win32.PsShutdown.232. No Action Taken.
Fri Aug 12 09:25:34 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:38:20 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035879.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken.
Fri Aug 12 09:38:20 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035880.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken.
Fri Aug 12 09:38:23 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035893.exe tagged as "not-a-virus:AdWare.SaveNow.as". Action Taken: No Action Taken.
Fri Aug 12 09:38:23 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035894.exe tagged as "not-a-virus:AdWare.SaveNow.bd". Action Taken: No Action Taken.
Fri Aug 12 09:38:23 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035895.exe tagged as "not-a-virus:AdWare.SaveNow.az". Action Taken: No Action Taken.
Fri Aug 12 09:38:24 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP91\A0035908.exe tagged as "not-a-virus:AdWare.SaveNow.bi". Action Taken: No Action Taken.
Fri Aug 12 09:38:30 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036040.dll tagged as "not-a-virus:AdWare.SaveNow.az". Action Taken: No Action Taken.
Fri Aug 12 09:38:31 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036045.exe tagged as "not-a-virus:AdWare.SaveNow.bi". Action Taken: No Action Taken.
Fri Aug 12 09:38:35 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036076.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken.
Fri Aug 12 09:38:35 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP92\A0036077.exe tagged as "not-a-virus:AdWare.SaveNow.bc". Action Taken: No Action Taken.
Fri Aug 12 09:39:02 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0036614.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:39:04 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0036623.dll infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:39:04 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0036625.dll infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:39:07 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0037627.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:39:07 2005 => File C:\System Volume Information\_restore{22011BC0-16CC-4B53-8D83-55D2E68B9B33}\RP95\A0037628.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Fri Aug 12 09:53:58 2005 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Fri Aug 12 10:11:46 2005 => File D:\System Volume Information\_restore{A0D5D8EB-9E58-4A4F-9555-C59512B7F106}\RP51\A0021685.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken.


Eine Datei namens "intell32.exe" im Ordner Windows\System32 habe ich heute morgen auch schon gelöscht.
Ad-Aware fand mehrere Einträge von PSGuard

Ich hoffe, ihr könnt mir helfen...
Viele Grüße
Tankgirl

Alt 12.08.2005, 16:33   #2
felix1
/// Helfer-Team
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



Du hast ein veraltetes und unaktuelles System. Dringenst SP installieren und das System updaten.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung
http://www.systemwiederherstellung-d...indows-xp.html

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Danach die Datei mwav.log im Verzeichnis C:\bases_x löschen und einen neuen escan. Halte dich genau an die Anleitung.
http://www.trojaner-board.de/showthread.php?t=17492

Sowie ein neues HJT-Log.
__________________


Alt 12.08.2005, 20:20   #3
Tankgirl
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



Hi Felix!

Wir haben Winsweep auf dem Rechner...reicht das aus, oder soll ich das Clearprog trotzdem runterladen?

LG Tankgirl
__________________

Alt 12.08.2005, 20:22   #4
felix1
/// Helfer-Team
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



Mache wie Anleitung!

Alt 13.08.2005, 10:03   #5
Tankgirl
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



Hallo Felix!

Adaware und Spybot haben beide nichts gefunden.


Die Löschung mit Clearprog habe ich durchgeführt.


Hier ist das neue E-Scan-Log:

Sat Aug 13 08:56:40 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sat Aug 13 08:57:10 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sat Aug 13 08:57:11 2005 => Object "WhenU Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{daa873d4-958c-453c-81ca-3fe6f3676a87}" refers to invalid object "C:\WINDOWS\System32\snaa.dll". Action Taken: No Action Taken.
Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{DADDCB07-8034-4541-88A1-0B15F05861CA}" refers to invalid object "C:\WINDOWS\System32\NCTRMFile.dll". Action Taken: No Action Taken.
Sat Aug 13 08:59:47 2005 => File C:\WINDOWS\System32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sat Aug 13 09:02:32 2005 => File C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Data\psshutdown.exe tagged as not-a-virus:RiskTool.Win32.PsShutdown.232. No Action Taken.
Sat Aug 13 09:05:38 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Sat Aug 13 09:30:02 2005 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sat Aug 13 09:45:43 2005 => File D:\System Volume Information\_restore{A0D5D8EB-9E58-4A4F-9555-C59512B7F106}\RP51\A0021685.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken.


Und hier das aktuelle HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:13:26, on 13.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://index.meta-spinner.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/10d8157596af04b46119/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112702355589
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F85EBB5-5519-41C4-A6D3-112203061680}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


LG Tankgirl


Alt 13.08.2005, 12:18   #6
felix1
/// Helfer-Team
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



Wo sind SP2 und die entsprechenden Updates?

Lasse die Datei:
C:\WINDOWS\System32\oleext.dll
hier:
http://virusscan.jotti.org/de/
prüfen.

Alt 13.08.2005, 12:44   #7
Gigamail
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



@ Felix

schau hier
Zitat:
Sat Aug 13 09:30:02 2005 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus!
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 13.08.2005, 13:06   #8
felix1
/// Helfer-Team
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



@ Gigamail
Ich will eigentlich nur sichergehen.
Ich suche die anderen Dateien.
http://www.greatis.com/appdata/d/_/_...xe_Removal.htm

Oder ein Säuberungsversuch hat diese schon eleminiert und das sind nur noch Reste.

Alt 13.08.2005, 13:49   #9
Gigamail
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



@ Felix

nach der beschreibung ist hier IMHO der Smitfraud am Werk, da reicht es wahrscheinlich nicht nur ein oder zwei dateien zu löschen, es gehöhren jede Menge dazu. Schau auch mal hier

@ Tankgirl

Du solltest unbedingt Dein System updaten


versuche dich hier durchzuarbeiten und melde dich mit den Ergebnis von smitrem und einem neuen HJT
Die gefundenen Dateien von eScan solltest du im abgesicherten modus bei deaktivierter Systemwiederherstellung löschen
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 13.08.2005, 15:44   #10
Tankgirl
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



@Felix:

Die anderen Dateien waren auch da..."intell32.exe" habe ich gelöscht, ein paar andere Dateien hatte mein Mann sofort gelöscht, nachdem dieses komische Desktop-Bild erschien und Ad-Aware hat auch viele Sachen namens "PSGuard" beseitigt (unter anderem auch die Dateien "wppp.html" und "uninstIU.exe"), es sind dann wohl wirklich "nur" noch die Reste...

Zu den Windows-Updates: Unser Windows ist nicht "ganz legal"...kann ich die Updates denn einfach durchführen


@Gigamail:

Hier ist das Log von Smitrem:


smitRem log file
version 2.3
by noahdfear

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Pre-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~
oleext.dll

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Wininet.dll ~~~
CLEAN!


Nachdem ich nach dem DiskCleanup den PC wieder normal gestartet habe, war unsere gesamte Benutzeroberfläche anders und unser Desktop-Hintergrund blau. Außerdem startete der Antivir nicht automatisch, sondern ich musste ihn manuell aktivieren...woran lag das denn???


Diese E-Scan Funde habe ich gelöscht:
Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{daa873d4-958c-453c-81ca-3fe6f3676a87}" refers to invalid object "C:\WINDOWS\System32\snaa.dll". Action Taken: No Action Taken.
Sat Aug 13 08:57:38 2005 => Entry "HKCR\CLSID\{DADDCB07-8034-4541-88A1-0B15F05861CA}" refers to invalid object "C:\WINDOWS\System32\NCTRMFile.dll". Action Taken: No Action Taken.
Sat Aug 13 09:05:38 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
oleext.dll wurde wohl von Smitrem gelöscht...zumindest ist sie nicht mehr da...
Wie lösche ich denn die anderen Funde (den Dialer auf Laufwerk D) und die Funde ganz oben, die keinen Pfad haben (Altnet und WhenU)???
Hat PSShutdown etwas mit den Windows-Updates zu tun und braucht nicht gelöscht zu werden???


Hier ist noch mein aktuelles HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:49:30, on 13.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\PM5K\Eigene Dateien\Addons + Tools\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://index.meta-spinner.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/10d81575...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112702355589
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F85EBB5-5519-41C4-A6D3-112203061680}: NameServer = 217.237.148.65 217.237.148.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


LG Tankgirl

Geändert von Tankgirl (13.08.2005 um 16:30 Uhr)

Alt 13.08.2005, 20:47   #11
Gigamail
 
Hilfe....mehrere Viren auf dem Rechner! - Standard

Hilfe....mehrere Viren auf dem Rechner!



so, das Logfile sieht erst mal gut aus, abgesehen von SP2. Damit das Windows nicht ganz legal ist kann ich nur verurteilen Es gibt aber trotzdem die Möglichkeit die Cd zu bestellen http://www.microsoft.com/germany/win...dredirect.aspx


obwohl...hier müsste ich eigentlich aufhören

Zitat:
Nachdem ich nach dem DiskCleanup den PC wieder normal gestartet habe, war unsere gesamte Benutzeroberfläche anders und unser Desktop-Hintergrund blau. Außerdem startete der Antivir nicht automatisch, sondern ich musste ihn manuell aktivieren...woran lag das denn???

das mit dem Hintergrund ist normal, du kannst das nach dem Cleaner wieder einstellen und den Antivir versuche zu deinstallieren und danach wieder neu drauf bügeln.
Zitat:
Wie lösche ich denn die anderen Funde (den Dialer auf Laufwerk D) und die Funde ganz oben, die keinen Pfad haben (Altnet und WhenU)???
Hat PSShutdown etwas mit den Windows-Updates zu tun und braucht nicht gelöscht zu werden???

Den Dialer, sollte er noch auf dem System sein, kannst du zur Sicherheit auf Diskette speichern, wenn du nicht ausschliesslich mit DSL ins Netz gehst( zwecks Beweissicherung)
Die Einträge Altnet kannst du vernachlässigen ich glaube fast mit WhenU verhällt sich das auch so. Wenn du willst kannst du den eScan nochmal im abgesicherten Modus durchlaufen lassen, du solltest vorher die alte Logdatei löschen. Es wird dann eine neue erstellt
__________________
Gruß Gigamail

eScan-Anleitung und Download



Antwort

Themen zu Hilfe....mehrere Viren auf dem Rechner!
adobe, antivir, avg, avgnt.exe, c:\windows\system32\services.exe, confused, desktop, einstellungen, explorer, hijack, hijackthis, iexplore.exe, internet, internet explorer, jusched.exe, logfile, logon.exe, mehrere, object, rundll, scan, services.exe, software, svchost.exe, system, temp, träge, viren, warnung, windows, windows xp, winlogon.exe



Ähnliche Themen: Hilfe....mehrere Viren auf dem Rechner!


  1. Mehrere Viren, u.a. Dropper.gen
    Log-Analyse und Auswertung - 31.12.2013 (5)
  2. mehrere Viren...
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (2)
  3. Mehrere Viren und Trojaner!!!Hilfe!!!!
    Log-Analyse und Auswertung - 08.04.2010 (39)
  4. mehrere Viren!
    Log-Analyse und Auswertung - 01.04.2010 (52)
  5. mehrere Viren
    Log-Analyse und Auswertung - 29.04.2009 (0)
  6. Trojaner / Viren auf dem Rechner? - Brauche Hilfe!
    Mülltonne - 04.09.2008 (0)
  7. Hilfe!!! wie bekomme ich meinen rechner viren-/wurmfrei?
    Alles rund um Windows - 15.08.2008 (5)
  8. Bitte dringend um Hilfe habe mehrere Trojaner und einen Dropper auf dem Rechner!!!
    Plagegeister aller Art und deren Bekämpfung - 01.08.2008 (1)
  9. Hilfe! mehrere Würmer Viren und Trojaner
    Mülltonne - 10.07.2008 (0)
  10. Hilfe! mehrere Viren eingefangen!
    Log-Analyse und Auswertung - 02.05.2008 (8)
  11. Brauche Hilfe bei mehrere Viren, Trojaner oder Spyware
    Plagegeister aller Art und deren Bekämpfung - 21.04.2008 (24)
  12. mehrere Trojaner und Viren? Hijacklog hilfe
    Log-Analyse und Auswertung - 31.03.2008 (8)
  13. mehrere viren!
    Plagegeister aller Art und deren Bekämpfung - 14.02.2008 (8)
  14. mein rechner wird immer noch langsamer /31 viren angezeigt / brauche hilfe
    Log-Analyse und Auswertung - 26.10.2007 (1)
  15. Mehrere Viren, Trojaner, Malware, bitte um Hilfe
    Log-Analyse und Auswertung - 03.01.2006 (8)
  16. Trojaner und Viren Party auf meinem Rechner - HILFE
    Log-Analyse und Auswertung - 07.08.2005 (2)
  17. Mehrere Viren
    Log-Analyse und Auswertung - 13.06.2005 (1)

Zum Thema Hilfe....mehrere Viren auf dem Rechner! - Hallo! Heute nacht meldete Antivir folgende Funde: 12.08.2005,01:53:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.azk! C:\WINDOWS\SYSTEM32:SNAA.DLL 12.08.2005,01:53:18 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Age.bc.19.A! C:\WINDOWS\NETCV32.DLL 12.08.2005,01:53:19 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.bau! - Hilfe....mehrere Viren auf dem Rechner!...
Archiv
Du betrachtest: Hilfe....mehrere Viren auf dem Rechner! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.